潛藏系統2個月未被發現,新型網絡攻擊瞄準中國高價值目標
近期,針對說中文的企業的新一輪網絡攻擊活動引起了廣泛關注。攻擊者使用了Cobalt Strike載荷,針對特定目標進行了精確打擊。Securonix研究人員Den Iuzvyk和Tim Peck在報告中指出,攻擊者設法在系統內橫向移動,建立持久性,并在兩個多月的時間里未被發現。
攻擊概括
這個秘密的攻擊活動代號為SLOW#TEMPEST,尚未歸因于任何已知的威脅行為者。攻擊開始于惡意的ZIP文件,當這些文件被解壓縮時,會激活感染鏈,導致在被攻擊的系統上部署后開發工具包。攻擊者通過發送精心設計的釣魚郵件,誘導受害者下載并執行惡意文件,從而啟動感染鏈。
研究人員強調,鑒于誘餌文件中使用的語言,與中國相關的商業或政府部門很可能是其特定的目標。尤其是那些雇傭了遵守“遠程控制軟件規定”的人員的公司,通常被認為具有較高的商業價值和數據價值,吸引了攻擊者的注意。
值得注意的是,感染鏈還設置了定期執行名為"lld.exe"的惡意文件的任務,該文件可以直接在內存中運行任意shellcode,從而在磁盤上留下最小的足跡。
研究人員表示,攻擊者進一步通過手動提升內置訪客用戶帳戶的權限,使自己能夠在被攻擊的系統中隱藏。這個賬戶通常被禁用并且最小化權限,但只有將其添加到關鍵的管理員組并分配新密碼,就可以轉變成一個強大的訪問點。這個后門允許他們以最小的檢測維持對系統的訪問,畢竟訪客賬戶通常不像其他用戶賬戶那樣受到密切監控。
未知的威脅行為者隨后使用遠程桌面協議(RDP)和通過Mimikatz密碼提取工具獲得的憑據,在網絡中橫向移動,然后在每臺機器上設置返回他們命令與控制(C2)服務器的遠程連接。
攻擊細節
(1) 攻擊手段:Beacon和Listener
- Beacon:Beacon是Cobalt Strike運行在目標主機上的payload,負責與攻擊者的命令與控制(C2)服務器通信,接收和執行任務。
- Listener:Listener模塊用于接收Beacon的請求信息,并轉發給攻擊者的Team Server控制器。
(2) 隱蔽通信
- 多種通信協議:Cobalt Strike支持HTTP、HTTPS、DNS和SMB等多種通信協議,確保C2通信的隱蔽性和穩定性。
- 分段載荷:攻擊者使用分段載荷技術,防止shellcode過長導致異常,并通過多階段下載和解碼來規避檢測。
Cobalt Strike 分析
Cobalt Strike Payloads確實支持多種語言環境,并且可以在不同的操作系統上運行。
(1) Cobalt Strike Payloads支持的語言
- C
- C#
- Python
- Java
- Perl
- Powershell腳本
- Powershell命令
- Ruby
- Raw
- 免殺框架Veli中的shellcode
(2) Cobalt Strike Payloads在不同操作系統上的使用情況
Cobalt Strike Payloads可以在Linux和Windows上運行,這得益于其基于Meterpreter shellcode的設計,使得它能夠跨平臺執行。
(3) Cobalt Strike Payloads的本地化支持
Cobalt Strike Payloads的本地化支持主要通過其模塊化設計實現,允許攻擊者根據目標環境定制payload,以繞過本地安全檢測。
(4) Cobalt Strike Payloads的檢測與防御
檢測Cobalt Strike Payloads通常依賴于內存取證技術和特定的工具,如Yara規則。防御措施包括使用端點檢測和響應(EDR)技術來實時監控內存活動,以及定期更新安全軟件和系統補丁。
攻擊影響
- 數據泄露:攻擊者通過Cobalt Strike獲取了受感染系統上的敏感數據,包括員工和客戶的個人信息。
- 系統控制:攻擊者能夠在受感染系統中執行任意代碼,控制系統行為,甚至加密文件進行勒索。
- 系統中斷:攻擊導致一些企業系統中斷,員工不得不重新使用紙張和筆進行記錄,經銷商甚至讓員工回家,因為系統中斷導致無法進行正常工作。
- 業務中斷:企業因系統中斷和數據泄露,面臨巨大的經濟損失和業務中斷風險。
總的來說,針對說中文的企業的新一輪網絡攻擊活動正愈演愈烈,攻擊者使用了Cobalt Strike載荷,通過魚叉式釣魚和隱蔽通信手段,成功滲透并控制了目標系統。
但這并不只是特例。近年來越來越多的APT組織持續對我國包括企業、政府部門、研究機構、關鍵基礎設施等高價值機構發起網絡攻擊。
報告數據顯示,2024年上半年,針對中文企業的網絡攻擊呈現出攻擊頻次和強度增加、受害行業多樣化以及新型攻擊手段不斷涌現的特點。與2023年同期相比,2024年上半年的網絡攻擊頻次和強度均有所增加。特別是APT攻擊和勒索軟件攻擊的次數大幅上漲,表明這些攻擊方式仍然是網絡安全領域的主要威脅。
參考來源:https://thehackernews.com/2024/08/new-cyberattack-targets-chinese.html
