網(wǎng)絡(luò)安全研究人員披露了關(guān)于水坑攻擊的細(xì)節(jié)，該攻擊利用谷歌瀏覽器和IE瀏覽器的漏洞，部署惡意軟件進(jìn)行間諜活動(dòng)。

[[350116]]

這一攻擊使用了SLUB(即SLack和githUB)惡意軟件和兩個(gè)新的后門(mén)——dneSpy和agfSpy——來(lái)竊取系統(tǒng)信息，并獲得對(duì)受損機(jī)器的額外控制。

據(jù)這家網(wǎng)絡(luò)安全公司說(shuō)，這些攻擊發(fā)生在3月、5月和9月。

水坑攻擊通過(guò)破壞一個(gè)精心挑選的網(wǎng)站，插入漏洞，獲得訪問(wèn)受害者的設(shè)備并讓它感染惡意軟件，從而危及目標(biāo)企業(yè)。

據(jù)稱(chēng)，“地球Kitsune行動(dòng)”已將間諜軟件樣本部署在與朝鮮有關(guān)的網(wǎng)站上，盡管來(lái)自韓國(guó)IP地址的用戶被禁止訪問(wèn)這些網(wǎng)站。

多樣化的攻擊行為

盡管此前涉及SLUB的操作是利用GitHub存儲(chǔ)平臺(tái)將惡意代碼片段下載到Windows系統(tǒng)，并將執(zhí)行結(jié)果發(fā)布到攻擊者控制的私人Slack渠道上，但最新的惡意軟件攻擊的目標(biāo)是Mattermost，一個(gè)類(lèi)似slacko的開(kāi)源協(xié)作消息傳遞系統(tǒng)。

進(jìn)行了安全試驗(yàn)的趨勢(shì)科技團(tuán)隊(duì)表示:“這次行動(dòng)非常多樣化，向受害者機(jī)器部署了大量樣本，并在行動(dòng)中使用了多個(gè)命令和控制(C&C)服務(wù)器。”“總的來(lái)說(shuō)，我們發(fā)現(xiàn)該活動(dòng)使用了5臺(tái)C&C服務(wù)器，7個(gè)樣本，并利用了4個(gè)'N日漏洞'。”

該攻擊者利用一個(gè)已經(jīng)修補(bǔ)過(guò)的Chrome漏洞(CVE-2019-5782)，通過(guò)一個(gè)特別制作的HTML頁(yè)面，允許攻擊者在沙箱中執(zhí)行任意代碼。

另外，Internet Explorer (CVE-2020-0674)中的一個(gè)漏洞也被用來(lái)通過(guò)被攻擊的網(wǎng)站傳遞惡意軟件。

這次的改變是使用Mattermost服務(wù)器來(lái)跟蹤跨多臺(tái)受感染計(jì)算機(jī)的部署，此外還為每臺(tái)計(jì)算機(jī)創(chuàng)建了一個(gè)單獨(dú)的通道，以從受感染的主機(jī)檢索收集的信息。

另外兩個(gè)后門(mén)dneSpy和agfSpy，前者被設(shè)計(jì)用來(lái)收集系統(tǒng)信息、捕獲屏幕截圖、下載和執(zhí)行從C&C服務(wù)器接收到的惡意命令，其結(jié)果被壓縮、加密并傳輸?shù)胶诳偷姆?wù)器。

[[350117]]

dneSpy的對(duì)等物agfSpy帶有自己的C&C服務(wù)器機(jī)制，它使用該機(jī)制來(lái)獲取shell命令并將執(zhí)行結(jié)果發(fā)送回去。它的主要特性包括枚舉目錄和列表、上傳、下載和執(zhí)行文件的功能。

研究人員總結(jié)道:“地球Kitsune行動(dòng)是復(fù)雜而多產(chǎn)的，這要?dú)w因于它使用的各種組件并讓它們彼此狼狽為奸。利用新型的攻擊方式和組合套路，避免被系統(tǒng)安全產(chǎn)品規(guī)避。”

從瀏覽器的開(kāi)發(fā)shell代碼到agfSpy，這些元素都是自定義編碼。這個(gè)組織今年非?；钴S，安全團(tuán)隊(duì)預(yù)測(cè)他們將在下一段時(shí)間內(nèi)，還會(huì)繼續(xù)有騷操作。”