网络安全研究人员披露了一项针对韩国侨民的新的Watering Hole攻击的细节,该攻击利用谷歌Chrome和Internet Explorer等浏览器的漏洞,部署恶意软件进行间谍活动。
Trend Micro称其为“Operation Earth Kitsune”,该活动包括使用SLUB(用于SLack和githUB)恶意软件和两个新的后门(dneSpy和agfSpy)来过滤系统信息并获得对受损机器的额外控制。
网络安全公司称,这些攻击发生在3月、5月和9月。
Watering Hole允许攻击者通过插入漏洞攻击(意图访问受害者的设备并用恶意软件感染)来危害精心选择的网站,从而危害目标企业。
据说,“Earth Kitsune”行动已经在与朝鲜有关的网站上部署了间谍软件样本,但是,这些网站的访问被阻止,因为这些网站是来自韩国IP地址的用户。
多元化的运动
尽管此前涉及SLUB的操作是利用GitHub存储平台将恶意代码片段下载到Windows系统,并将执行结果发布到攻击者控制的私人Slack渠道上,但最新的恶意软件攻击的目标是Mattermost,一个类似slacko的开源协作消息传递系统。
Trend Micro表示:“这次行动非常多样化,他们在受害者机器上部署了大量样本,并使用了多个命令和控制(C&C)服务器。”“总的来说,我们发现该活动使用了5台C&C服务器,7个样本,并利用了4个N-day的漏洞。”
攻击者利用一个已经修补过的Chrome漏洞(CVE-2019-5782),通过一个特别制作的HTML页面,在沙箱中执行任意代码。
另外,Internet Explorer中的一个漏洞 (CVE-2020-0674)也被用来通过被攻击的网站传递恶意软件。
dneSpy和agfSpy-全功能间谍后门
尽管他们的感染媒介不同,但利用链的步骤相同——启动与C&C服务器的连接,接收dropper,然后检查目标系统上是否存在反恶意软件解决方案,之后继续下载三个后门示例(以“.jpg”格式)并执行它们。
这次的改变是使用Mattermost服务器跟踪多台受感染机器的部署情况,此外还为每台机器创建一个单独的通道,从受感染主机检索收集的信息。
在其他两个后门dneSpy和agfSpy中,前者被设计成收集系统信息、截图、下载并执行从C&C服务器接收到的恶意命令,这些命令的结果被压缩、加密并过滤到服务器上。
“dneSpy一个有趣的方面是它的 C&C pivoting行为,”Trend Micro的研究人员说,“中央C&C服务器的响应实际上是下一级C&C服务器的域/IP,dneSpy必须与该域/IP进行通信才能接收进一步的指令。”
与dneSpy相对应的agfSpy自带自己的C&C服务器机制,用于获取shell命令并返回执行结果。它的主要特性包括枚举目录和列表、上载、下载和执行文件的功能。
研究人员得出结论:“Earth Kitsune”使用新样本来避免被安全工具发现。
“从Chrome exploit shellcode到agfSpy,操作中的元素都是自定义编码的,这表明操作背后有一个组织。这个组织今年似乎非常活跃,我们预测他们将继续朝这个方向发展一段时间。”
消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册