新式水坑攻击——利用浏览器错误,悄悄安装后门!

安全
网络安全研究人员披露了关于水坑攻击的细节,该攻击利用谷歌浏览器和IE浏览器的漏洞,部署恶意软件进行间谍活动。

网络安全研究人员披露了关于水坑攻击的细节,该攻击利用谷歌浏览器和IE浏览器的漏洞,部署恶意软件进行间谍活动。

[[350116]]

这一攻击使用了SLUB(即SLack和githUB)恶意软件和两个新的后门——dneSpy和agfSpy——来窃取系统信息,并获得对受损机器的额外控制。

据这家网络安全公司说,这些攻击发生在3月、5月和9月。

水坑攻击通过破坏一个精心挑选的网站,插入漏洞,获得访问受害者的设备并让它感染恶意软件,从而危及目标企业。

据称,“地球Kitsune行动”已将间谍软件样本部署在与朝鲜有关的网站上,尽管来自韩国IP地址的用户被禁止访问这些网站。

多样化的攻击行为

尽管此前涉及SLUB的操作是利用GitHub存储平台将恶意代码片段下载到Windows系统,并将执行结果发布到攻击者控制的私人Slack渠道上,但最新的恶意软件攻击的目标是Mattermost,一个类似slacko的开源协作消息传递系统。

进行了安全试验的趋势科技团队表示:“这次行动非常多样化,向受害者机器部署了大量样本,并在行动中使用了多个命令和控制(C&C)服务器。”“总的来说,我们发现该活动使用了5台C&C服务器,7个样本,并利用了4个'N日漏洞'。”

该攻击者利用一个已经修补过的Chrome漏洞(CVE-2019-5782),通过一个特别制作的HTML页面,允许攻击者在沙箱中执行任意代码。

另外,Internet Explorer (CVE-2020-0674)中的一个漏洞也被用来通过被攻击的网站传递恶意软件。

这次的改变是使用Mattermost服务器来跟踪跨多台受感染计算机的部署,此外还为每台计算机创建了一个单独的通道,以从受感染的主机检索收集的信息。

另外两个后门dneSpy和agfSpy,前者被设计用来收集系统信息、捕获屏幕截图、下载和执行从C&C服务器接收到的恶意命令,其结果被压缩、加密并传输到黑客的服务器。

[[350117]]

dneSpy的对等物agfSpy带有自己的C&C服务器机制,它使用该机制来获取shell命令并将执行结果发送回去。它的主要特性包括枚举目录和列表、上传、下载和执行文件的功能。

研究人员总结道:“地球Kitsune行动是复杂而多产的,这要归因于它使用的各种组件并让它们彼此狼狈为奸。利用新型的攻击方式和组合套路,避免被系统安全产品规避。”

从浏览器的开发shell代码到agfSpy,这些元素都是自定义编码。这个组织今年非常活跃,安全团队预测他们将在下一段时间内,还会继续有骚操作。”

 

责任编辑:赵宁宁 来源: 超级盾订阅号
相关推荐

2020-03-29 09:15:30

黑客iOS攻击

2015-05-29 11:37:53

2010-01-18 10:34:59

2021-01-28 07:06:55

Microsoft Edge浏览器 Dev 开发

2015-06-16 11:20:16

水坑攻击

2024-04-17 08:00:00

2013-11-22 15:05:13

DDoSDDoS攻击

2021-02-09 00:43:40

浏览器扩展劫持网络攻击

2013-07-08 14:45:52

2011-04-06 11:30:49

2019-07-16 07:15:42

浏览器网络威胁网络安全

2021-06-30 10:21:29

浏览器

2012-03-19 17:25:22

2012-03-20 11:31:58

移动浏览器

2012-03-20 11:41:18

海豚浏览器

2012-03-20 11:07:08

2022-08-02 12:02:25

书签数据泄露

2021-12-06 16:33:05

浏览器攻击漏洞

2011-08-09 15:43:41

2012-06-21 15:38:02

猎豹浏览器
点赞
收藏

51CTO技术栈公众号