网络安全研究人员披露了关于水坑攻击的细节,该攻击利用谷歌浏览器和IE浏览器的漏洞,部署恶意软件进行间谍活动。
这一攻击使用了SLUB(即SLack和githUB)恶意软件和两个新的后门——dneSpy和agfSpy——来窃取系统信息,并获得对受损机器的额外控制。
据这家网络安全公司说,这些攻击发生在3月、5月和9月。
水坑攻击通过破坏一个精心挑选的网站,插入漏洞,获得访问受害者的设备并让它感染恶意软件,从而危及目标企业。
据称,“地球Kitsune行动”已将间谍软件样本部署在与朝鲜有关的网站上,尽管来自韩国IP地址的用户被禁止访问这些网站。
多样化的攻击行为
尽管此前涉及SLUB的操作是利用GitHub存储平台将恶意代码片段下载到Windows系统,并将执行结果发布到攻击者控制的私人Slack渠道上,但最新的恶意软件攻击的目标是Mattermost,一个类似slacko的开源协作消息传递系统。
进行了安全试验的趋势科技团队表示:“这次行动非常多样化,向受害者机器部署了大量样本,并在行动中使用了多个命令和控制(C&C)服务器。”“总的来说,我们发现该活动使用了5台C&C服务器,7个样本,并利用了4个'N日漏洞'。”
该攻击者利用一个已经修补过的Chrome漏洞(CVE-2019-5782),通过一个特别制作的HTML页面,允许攻击者在沙箱中执行任意代码。
另外,Internet Explorer (CVE-2020-0674)中的一个漏洞也被用来通过被攻击的网站传递恶意软件。
这次的改变是使用Mattermost服务器来跟踪跨多台受感染计算机的部署,此外还为每台计算机创建了一个单独的通道,以从受感染的主机检索收集的信息。
另外两个后门dneSpy和agfSpy,前者被设计用来收集系统信息、捕获屏幕截图、下载和执行从C&C服务器接收到的恶意命令,其结果被压缩、加密并传输到黑客的服务器。
dneSpy的对等物agfSpy带有自己的C&C服务器机制,它使用该机制来获取shell命令并将执行结果发送回去。它的主要特性包括枚举目录和列表、上传、下载和执行文件的功能。
研究人员总结道:“地球Kitsune行动是复杂而多产的,这要归因于它使用的各种组件并让它们彼此狼狈为奸。利用新型的攻击方式和组合套路,避免被系统安全产品规避。”
从浏览器的开发shell代码到agfSpy,这些元素都是自定义编码。这个组织今年非常活跃,安全团队预测他们将在下一段时间内,还会继续有骚操作。”
