近日，一場針對中國公務(wù)員的大規(guī)模網(wǎng)絡(luò)釣魚活動引起了國際安全專家的關(guān)注。美國威脅檢測、調(diào)查和響應(yīng)工具供應(yīng)商Securonix揭露了一個隱蔽的網(wǎng)絡(luò)攻擊行動，攻擊者利用國內(nèi)某大型云服務(wù)作為攻擊平臺，在中國政府和企業(yè)網(wǎng)絡(luò)中長期潛伏，其主要目標(biāo)是數(shù)量龐大的公務(wù)人員群體。

針對公務(wù)人員的網(wǎng)絡(luò)釣魚活動

Securonix的研究人員Den Iuzvyk和Tim Peck在上周撰文披露了一起針對中文用戶的隱蔽活動，攻擊者通過釣魚郵件發(fā)送Cobalt Strike有效載荷，郵件中包含壓縮的Zip文件，標(biāo)題為“20240739人員名單信息.zip”，意為“人員名單信息”。

點擊該文件會解壓出一個名為“違規(guī)遠程控制軟件人員名單.docx.lnk”的文件鏈接，意為“違反遠程控制軟件規(guī)定的人員名單”。研究者據(jù)此推測，攻擊者的目標(biāo)很可能是特定的中國政府部門公務(wù)人員。

攻擊手法分析

點擊該鏈接會執(zhí)行代碼，運行嵌套目錄中的惡意DLL文件dui70.dll和UI.exe。UI.exe是合法Windows可執(zhí)行文件LicensingUI.exe的重命名版本，該文件通常用于通知用戶有關(guān)軟件許可和激活的信息。

研究人員發(fā)現(xiàn)，攻擊者利用DLL路徑遍歷漏洞，通過執(zhí)行重命名的UI.exe文件，加載同名的惡意DLL文件，從而實現(xiàn)攻擊。

一旦UI.exe運行，惡意DLL實際上是Cobalt Strike攻擊工具包的植入物，它會注入到Windows二進制文件“runonce.exe”中，給予攻擊者對主機的完全控制權(quán)。

攻擊者隨后會部署其他惡意軟件，包括fpr.exe、iox.exe、fscan.exe、netspy.exe、lld.exe、xxx.txt、tmp.log、sharpdecryptpwd.exe、pvefindaduser.exe和gogo_windows_amd64.exe等，這些工具用于端口轉(zhuǎn)發(fā)、網(wǎng)絡(luò)偵察、掃描網(wǎng)絡(luò)漏洞、收集憑據(jù)、枚舉Windows Active Directory用戶等。

Securonix觀察到攻擊者在受害者網(wǎng)絡(luò)中建立持久訪問，并使用遠程桌面協(xié)議進行橫向移動。攻擊者的目標(biāo)包括獲取Active Directory配置信息和公共IP地址。

研究人員指出，所有在此次攻擊中使用的IP地址均托管在中國某大型云服務(wù)平臺上，包括其云對象存儲服務(wù)。

幕后黑手：技術(shù)高明且善于潛伏的APT組織

Securonix將此次行動命名為SLOW#TEMPEST，因為攻擊者愿意潛伏一周或兩周以實現(xiàn)其目標(biāo)。

研究人員Iuzvyk和Peck將攻擊者描述為“高度組織化和復(fù)雜化，可能由經(jīng)驗豐富的威脅行為者策劃，他們有使用CobaltStrike等高級利用框架和其他廣泛的后利用工具的經(jīng)驗。”

盡管Securonix未能找到將此次攻擊與任何已知的APT組織聯(lián)系起來的有力證據(jù)，但攻擊的復(fù)雜性表明攻擊者在初始入侵、持久性、權(quán)限提升和跨網(wǎng)絡(luò)橫向移動方面擁有豐富經(jīng)驗和成熟技術(shù)手段。

總結(jié)

隨著生成式AI技術(shù)在網(wǎng)絡(luò)釣魚和社會工程領(lǐng)域的快速普及，大規(guī)模針對性跨國網(wǎng)絡(luò)釣魚活動威脅正快速增長。此次針對中國公務(wù)員的網(wǎng)絡(luò)釣魚活動再次提醒我們，網(wǎng)絡(luò)安全威脅無處不在，政府部門和企業(yè)必須加強網(wǎng)絡(luò)安全防護，提高對釣魚郵件和惡意軟件的警惕，以保護敏感信息和網(wǎng)絡(luò)安全。

同時，此次美國網(wǎng)絡(luò)安全公司披露針對中國用戶的網(wǎng)絡(luò)攻擊也表明，在地緣政治因素的干擾和操縱下，網(wǎng)絡(luò)安全研究依然是一個全球性活動，需要國際社會的共同努力和合作。