HackerNews 编译,转载请注明出处:
疑似来自伊朗、以间谍活动为目的的威胁行为者被发现部署 TWOSTROKE 和 DEEPROOT 等后门程序,持续针对中东地区的航空航天、航空和国防行业发动攻击。
谷歌旗下的曼迪昂特(Mandiant)公司将该活动归因于一个代号为 UNC1549(又称 “雨云狮身人面像” 或 “狡猾蜗牛”)的威胁集群,该集群于去年年初首次被这家威胁情报公司记录在案。
研究人员穆罕默德・埃尔 - 班纳、丹尼尔・李、迈克・斯托克尔和约什・戈达德表示:“2023 年末至 2025 年期间,UNC1549 采用了复杂的初始访问向量,包括滥用第三方合作关系获取入口(从服务提供商转向其客户)、从第三方虚拟桌面基础设施(VDI)突破,以及针对性极强、与角色相关的钓鱼攻击。”
此次披露距瑞士网络安全公司 PRODAFT 将该黑客组织与针对欧洲电信公司的攻击活动相关联约两个月。当时,该组织通过领英(LinkedIn)发起以招聘为主题的社会工程学攻击,成功入侵了 11 家机构。
谷歌称,攻击链结合了旨在窃取凭证或分发恶意软件的钓鱼活动,以及利用与第三方供应商和合作伙伴的信任关系。第二种方法在攻击国防承包商时展现出极高的策略性。
尽管这些组织通常拥有强大的防御体系,但其第三方合作伙伴的防御能力可能较弱 —— 这一供应链中的薄弱环节被 UNC1549 加以利用:他们先获取关联实体的访问权限,再渗透目标核心系统。
攻击者的常用手段包括滥用从这些外部实体窃取的、与思杰(Citrix)、威睿(VMWare)和 Azure 虚拟桌面与应用程序(VDA)等服务相关的凭证,建立初始立足点,随后突破虚拟化会话限制,获取底层主机系统访问权限,并在目标网络内开展横向移动活动。
另一种初始访问途径是发送声称与就业机会相关的鱼叉式钓鱼邮件,诱使收件人点击虚假链接并在其设备上下载恶意软件。观察发现,UNC1549 还在攻击中针对 IT 人员和管理员,以获取具有高权限的凭证,从而获得对网络的深度访问权。
攻击者一旦入侵成功,后续利用活动将包括侦察、凭证窃取、横向移动、防御规避和信息窃取,系统性收集网络 / IT 文档、知识产权和电子邮件。
该威胁行为者在攻击中使用的部分定制工具如下:
- MINIBIKE(又称 SlugResin):已知的 C++ 后门程序,可收集系统信息、获取额外有效载荷以执行侦察、记录键盘输入和剪贴板内容、窃取微软 Outlook 凭证、收集谷歌浏览器(Google Chrome)、勇敢浏览器(Brave)和微软 Edge 浏览器的浏览数据,并截取屏幕截图。
- TWOSTROKE:C++ 后门程序,支持系统信息收集、动态链接库(DLL)加载、文件操作和持久化驻留。
- DEEPROOT:基于 Go 语言的 Linux 后门程序,支持执行 shell 命令、枚举系统信息和文件操作。
- LIGHTRAIL:定制隧道工具,疑似基于开源 Socks4a 代理工具 Lastenzug 开发,利用 Azure 云基础设施进行通信。
- GHOSTLINE:基于 Go 语言的 Windows 隧道工具,通过硬编码域名进行通信。
- POLLBLEND:C++ Windows 隧道工具,利用硬编码的命令与控制(C2)服务器注册自身并下载隧道配置。
- DCSYNCER.SLICK:基于 DCSyncer 开发的 Windows 工具,用于执行 DCSync 攻击以提升权限。
- CRASHPAD:C++ Windows 工具,用于提取浏览器中保存的凭证。
- SIGHTGRAB:C 语言编写的 Windows 工具,选择性部署以定期捕获屏幕截图并保存至磁盘。
- TRUSTTRAP:恶意软件,通过弹出 Windows 提示框诱骗用户输入微软账户凭证。
攻击者还使用了多款公开可用的程序,包括:用于查询活动目录(Active Directory)的 AD Explorer;用于建立远程连接、执行侦察、凭证窃取和恶意软件部署的远程控制工具(Atelier Web Remote Commander,AWRC);以及用于远程控制的 SCCMVNC。此外,该威胁行为者还通过删除远程桌面协议(RDP)连接历史注册表项来阻碍调查。
曼迪昂特公司表示:“UNC1549 的攻击活动特点在于其专注于预判调查行动,并确保在被发现后仍能长期持久驻留。他们植入的后门程序会静默 beacon 数月,仅在受害者尝试清除后才激活以重新获取访问权限。”
“他们利用大量反向 SSH 隧道(可减少取证证据)和策略性模仿受害者所在行业的域名,维持隐蔽性和命令与控制(C2)通信。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
