讲中文的用户是“高度组织和复杂的攻击”活动的目标,该活动可能利用网络钓鱼电子邮件通过 Cobalt Strike 有效载荷感染 Windows 系统。
“攻击者设法横向移动,建立了持久性,并在两周多的时间里在系统内未被发现,”Securonix 研究人员 Den Iuzvyk 和 Tim Peck 在一份新报告中说。
代号为 SLOW#TEMPEST 的秘密活动,未归因于任何已知的威胁行为者,从恶意 ZIP 文件开始,解压缩后会激活感染链,从而导致在受感染的系统上部署漏洞利用后工具包。
ZIP 存档附带一个 Windows 快捷方式 (LNK) 文件,它伪装成Microsoft Word 文件“违规远程控制软件人员名单.docx.lnk”,大致翻译为“违反远程控制软件规定的人员名单”。
研究人员指出:“鉴于诱饵文件中使用的语言,特定的中国相关企业或政府部门很可能成为目标,因为它们都会雇用遵守’远程控制软件法规’的个人。
LNK 文件充当启动合法 Microsoft 二进制文件(“LicensingUI.exe”)的管道,该二进制文件使用 DLL 旁加载来执行流氓 DLL(“dui70.dll”)。这两个文件都是名为“\其他信息\.__MACOS__\._MACOS_\__MACOSX\_MACOS_”的目录中的 ZIP 存档的一部分。此次攻击标志着首次报告通过 LicensingUI.exe 进行 DLL 旁加载。
DLL 文件是一种 Cobalt Strike 植入程序,允许对受感染主机进行持续和隐蔽的访问,同时与远程服务器 (“123.207.74[.]22″).
据说远程访问允许攻击者进行一系列动手活动,包括部署额外的有效载荷进行侦察和设置代理连接。
感染链还值得注意的是,它设置了一个计划任务来定期执行一个名为“lld.exe”的恶意可执行文件,该可执行文件可以直接在内存中运行任意 shellcode,从而在磁盘上留下最少的占用空间。
研究人员说:“攻击者通过手动提升内置 Guest 用户帐户的权限,进一步使自己能够隐藏在受感染系统的杂草中。
“这个帐户通常被禁用且权限最低,通过将其添加到关键管理组并为其分配新密码,它被转变为一个强大的接入点。这个后门允许他们以最少的检测保持对系统的访问,因为 Guest 帐户通常不会像其他用户帐户那样受到密切监控。
未知威胁行为者随后继续使用远程桌面协议 (RDP) 和通过 Mimikatz 密码提取工具获得的凭据在网络中横向移动,然后设置从每台机器返回其命令和控制 (C2) 服务器的远程连接。
利用后阶段的进一步特征是执行多个枚举命令和使用 BloodHound 工具进行 Active Directory (AD) 侦察,其结果随后以 ZIP 存档的形式泄露。
所有 C2 服务器均由深圳腾讯计算机系统有限公司托管在中国,这一事实加强了与中国的联系。最重要的是,与该活动相关的大多数文物都来自中国。
“尽管没有确凿的证据将这次攻击与任何已知的 APT 组织联系起来,但它很可能是由经验丰富的威胁行为者精心策划的,他有使用高级漏洞利用框架(如 Cobalt Strike 和各种其他漏洞利用后工具)的经验,”研究人员总结道。
“该活动的复杂性体现在它对初始入侵、持久性、权限提升和跨网络横向移动的系统方法中。”