潜藏系统2个月未被发现,新型网络攻击瞄准中国高价值目标

安全
针对说中文的企业的新一轮网络攻击活动正愈演愈烈,攻击者使用了Cobalt Strike载荷,通过鱼叉式钓鱼和隐蔽通信手段,成功渗透并控制了目标系统。

近期,针对说中文的企业的新一轮网络攻击活动引起了广泛关注。攻击者使用了Cobalt Strike载荷,针对特定目标进行了精确打击。Securonix研究人员Den Iuzvyk和Tim Peck在报告中指出,攻击者设法在系统内横向移动,建立持久性,并在两个多月的时间里未被发现。

攻击概括

这个秘密的攻击活动代号为SLOW#TEMPEST,尚未归因于任何已知的威胁行为者。攻击开始于恶意的ZIP文件,当这些文件被解压缩时,会激活感染链,导致在被攻击的系统上部署后开发工具包。攻击者通过发送精心设计的钓鱼邮件,诱导受害者下载并执行恶意文件,从而启动感染链。

研究人员强调,鉴于诱饵文件中使用的语言,与中国相关的商业或政府部门很可能是其特定的目标。尤其是那些雇佣了遵守“远程控制软件规定”的人员的公司,通常被认为具有较高的商业价值和数据价值,吸引了攻击者的注意。

值得注意的是,感染链还设置了定期执行名为"lld.exe"的恶意文件的任务,该文件可以直接在内存中运行任意shellcode,从而在磁盘上留下最小的足迹。

研究人员表示,攻击者进一步通过手动提升内置访客用户帐户的权限,使自己能够在被攻击的系统中隐藏。这个账户通常被禁用并且最小化权限,但只有将其添加到关键的管理员组并分配新密码,就可以转变成一个强大的访问点。这个后门允许他们以最小的检测维持对系统的访问,毕竟访客账户通常不像其他用户账户那样受到密切监控。

未知的威胁行为者随后使用远程桌面协议(RDP)和通过Mimikatz密码提取工具获得的凭据,在网络中横向移动,然后在每台机器上设置返回他们命令与控制(C2)服务器的远程连接。

攻击细节

(1) 攻击手段:Beacon和Listener

  • Beacon:Beacon是Cobalt Strike运行在目标主机上的payload,负责与攻击者的命令与控制(C2)服务器通信,接收和执行任务。
  • Listener:Listener模块用于接收Beacon的请求信息,并转发给攻击者的Team Server控制器。

(2) 隐蔽通信

  • 多种通信协议:Cobalt Strike支持HTTP、HTTPS、DNS和SMB等多种通信协议,确保C2通信的隐蔽性和稳定性。
  • 分段载荷:攻击者使用分段载荷技术,防止shellcode过长导致异常,并通过多阶段下载和解码来规避检测。

Cobalt Strike 分析

Cobalt Strike Payloads确实支持多种语言环境,并且可以在不同的操作系统上运行。

(1) Cobalt Strike Payloads支持的语言

  • C
  • C#
  • Python
  • Java
  • Perl
  • Powershell脚本
  • Powershell命令
  • Ruby
  • Raw
  • 免杀框架Veli中的shellcode

(2) Cobalt Strike Payloads在不同操作系统上的使用情况

Cobalt Strike Payloads可以在Linux和Windows上运行,这得益于其基于Meterpreter shellcode的设计,使得它能够跨平台执行。

(3) Cobalt Strike Payloads的本地化支持

Cobalt Strike Payloads的本地化支持主要通过其模块化设计实现,允许攻击者根据目标环境定制payload,以绕过本地安全检测。

(4) Cobalt Strike Payloads的检测与防御

检测Cobalt Strike Payloads通常依赖于内存取证技术和特定的工具,如Yara规则。防御措施包括使用端点检测和响应(EDR)技术来实时监控内存活动,以及定期更新安全软件和系统补丁。

攻击影响

  • 数据泄露:攻击者通过Cobalt Strike获取了受感染系统上的敏感数据,包括员工和客户的个人信息。
  • 系统控制:攻击者能够在受感染系统中执行任意代码,控制系统行为,甚至加密文件进行勒索。
  • 系统中断:攻击导致一些企业系统中断,员工不得不重新使用纸张和笔进行记录,经销商甚至让员工回家,因为系统中断导致无法进行正常工作。
  • 业务中断:企业因系统中断和数据泄露,面临巨大的经济损失和业务中断风险。

总的来说,针对说中文的企业的新一轮网络攻击活动正愈演愈烈,攻击者使用了Cobalt Strike载荷,通过鱼叉式钓鱼和隐蔽通信手段,成功渗透并控制了目标系统。

但这并不只是特例。近年来越来越多的APT组织持续对我国包括企业、政府部门、研究机构、关键基础设施等高价值机构发起网络攻击。

报告数据显示,2024年上半年,针对中文企业的网络攻击呈现出攻击频次和强度增加、受害行业多样化以及新型攻击手段不断涌现的特点。与2023年同期相比,2024年上半年的网络攻击频次和强度均有所增加。特别是APT攻击和勒索软件攻击的次数大幅上涨,表明这些攻击方式仍然是网络安全领域的主要威胁。

参考来源:https://thehackernews.com/2024/08/new-cyberattack-targets-chinese.html

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-11-12 16:12:33

黑客恶意软件网络攻击

2013-12-23 10:35:01

2023-07-18 11:16:47

2012-04-19 09:41:24

2024-04-25 16:17:36

2016-04-06 13:36:24

梭子鱼/云存储/安全

2015-10-16 15:12:34

2013-10-21 10:13:27

2013-07-18 14:11:20

2009-09-15 09:49:01

2021-02-16 00:08:48

Windows 10Windows微软

2014-11-13 13:57:13

2009-03-09 09:03:06

2010-08-31 13:05:25

2014-02-18 09:24:34

2015-02-26 09:50:04

2009-08-21 14:16:08

2021-09-26 07:24:09

阿富汗Turla APT恶意软件

2011-07-22 09:06:08

AMDCEO

2020-02-07 12:33:55

网络攻击安全架构
点赞
收藏

51CTO技术栈公众号