近日,一场针对中国公务员的大规模网络钓鱼活动引起了国际安全专家的关注。美国威胁检测、调查和响应工具供应商Securonix揭露了一个隐蔽的网络攻击行动,攻击者利用国内某大型云服务作为攻击平台,在中国政府和企业网络中长期潜伏,其主要目标是数量庞大的公务人员群体。
针对公务人员的网络钓鱼活动
Securonix的研究人员Den
Iuzvyk和Tim Peck在上周撰文披露了一起针对中文用户的隐蔽活动,攻击者通过钓鱼邮件发送Cobalt
Strike有效载荷,邮件中包含压缩的Zip文件,标题为“20240739人员名单信息.zip”,意为“人员名单信息”。
点击该文件会解压出一个名为“违规远程控制软件人员名单.docx.lnk”的文件链接,意为“违反远程控制软件规定的人员名单”。研究者据此推测,攻击者的目标很可能是特定的中国政府部门公务人员。
攻击手法分析
点击该链接会执行代码,运行嵌套目录中的恶意DLL文件dui70.dll和UI.exe。UI.exe是合法Windows可执行文件LicensingUI.exe的重命名版本,该文件通常用于通知用户有关软件许可和激活的信息。
研究人员发现,攻击者利用DLL路径遍历漏洞,通过执行重命名的UI.exe文件,加载同名的恶意DLL文件,从而实现攻击。
一旦UI.exe运行,恶意DLL实际上是Cobalt Strike攻击工具包的植入物,它会注入到Windows二进制文件“runonce.exe”中,给予攻击者对主机的完全控制权。
攻击者随后会部署其他恶意软件,包括fpr.exe、iox.exe、fscan.exe、netspy.exe、lld.exe、xxx.txt、tmp.log、sharpdecryptpwd.exe、pvefindaduser.exe和gogo_windows_amd64.exe等,这些工具用于端口转发、网络侦察、扫描网络漏洞、收集凭据、枚举Windows Active Directory用户等。
Securonix观察到攻击者在受害者网络中建立持久访问,并使用远程桌面协议进行横向移动。攻击者的目标包括获取Active Directory配置信息和公共IP地址。
研究人员指出,所有在此次攻击中使用的IP地址均托管在中国某大型云服务平台上,包括其云对象存储服务。
幕后黑手:技术高明且善于潜伏的APT组织
Securonix将此次行动命名为SLOW#TEMPEST,因为攻击者愿意潜伏一周或两周以实现其目标。
研究人员Iuzvyk和Peck将攻击者描述为“高度组织化和复杂化,可能由经验丰富的威胁行为者策划,他们有使用CobaltStrike等高级利用框架和其他广泛的后利用工具的经验。”
尽管Securonix未能找到将此次攻击与任何已知的APT组织联系起来的有力证据,但攻击的复杂性表明攻击者在初始入侵、持久性、权限提升和跨网络横向移动方面拥有丰富经验和成熟技术手段。
总结
随着生成式AI技术在网络钓鱼和社会工程领域的快速普及,大规模针对性跨国网络钓鱼活动威胁正快速增长。此次针对中国公务员的网络钓鱼活动再次提醒我们,网络安全威胁无处不在,政府部门和企业必须加强网络安全防护,提高对钓鱼邮件和恶意软件的警惕,以保护敏感信息和网络安全。
同时,此次美国网络安全公司披露针对中国用户的网络攻击也表明,在地缘政治因素的干扰和操纵下,网络安全研究依然是一个全球性活动,需要国际社会的共同努力和合作。
参考链接:
https://www.securonix.com/blog/from-cobalt-strike-to-mimikatz-slowtempest/
原文来源:GoUpSec