寫在前面的話

要說哪個網(wǎng)絡(luò)威脅組織同時具備狡猾的社會工程學(xué)能力和靈活的網(wǎng)絡(luò)安全技術(shù)，那就不得不提到Muddled Libra了。由于對企業(yè)信息技術(shù)有著深入的了解，即使你的組織機構(gòu)擁有完善的傳統(tǒng)網(wǎng)絡(luò)防御系統(tǒng)，Muddled Libra也會對你產(chǎn)生巨大的威脅。

我們對2022年年中到2023年年初的六起與Muddled Libra有關(guān)聯(lián)的網(wǎng)絡(luò)安全事件進(jìn)行了分析，發(fā)現(xiàn)該威脅組織傾向于針對為高價值加密貨幣機構(gòu)和個人服務(wù)的大型外包公司。而想要阻止Muddled Libra的攻擊，則需要組織機構(gòu)擁有嚴(yán)格的安全控制機制、高度“敏感”的網(wǎng)絡(luò)安全意識和持續(xù)性的高級監(jiān)控方案。

Muddled Libra的技戰(zhàn)術(shù)非常多變，并且能夠快速適應(yīng)目標(biāo)環(huán)境，社會工程學(xué)技術(shù)是他們所使用的主要方式。除此之外，他們也正在使用各種匿名代理服務(wù)來掩蓋他們的原始IP地址以及實際地理位置。

我們認(rèn)為，英語是Muddled Libra成員的第一語言，這也使得他們在對使用英語的目標(biāo)用戶執(zhí)行社會工程學(xué)攻擊時，將更具殺傷力，而他們的主要目標(biāo)似乎都在“漂亮國”。

根據(jù)研究人員的發(fā)現(xiàn)，Muddled Libra一直與BlackCat（又名ALPPV）勒索軟件集團(tuán)有關(guān)聯(lián)，我們認(rèn)為他們很可能是其附屬組織，而BlackCat被認(rèn)為是過去12個月來最活躍、最持久的勒索軟件集團(tuán)之一。在過去的12個月里，我們在BlackCat的數(shù)據(jù)泄露站點上觀察到了至少316起事件。需要注意的是，BlackCat還允許分支機構(gòu)訪問他們的工具包，其中包括編譯的勒索軟件二進(jìn)制文件、技術(shù)支持、談判技巧以及泄漏網(wǎng)站的訪問權(quán)等等。

Muddled Libra的特征

我們可以用幾個方面來簡單概括Muddled Libra的特征：

• 使用0ktapus網(wǎng)絡(luò)釣魚工具包;
• 長期的持久化攻擊;
• 持續(xù)針對業(yè)務(wù)流程外包(BPO)行業(yè);
• 數(shù)據(jù)盜竊;
• 在下游攻擊中使用被入侵的基礎(chǔ)設(shè)施;

對Muddled Libra的深入研究表明，他們使用了一個異常龐大的攻擊工具包，其武器庫從社會工程學(xué)和smishing攻擊，到滲透測試和取證工具，幾乎“無所不用其極”。而且Muddled Libra在追求目標(biāo)方面有條不紊，進(jìn)攻策略高度靈活。當(dāng)攻擊路徑被阻斷時，他們要么迅速轉(zhuǎn)向另一個向量，要么修改環(huán)境以使用他們擅長的攻擊方法。值得一提的是，Muddled Libra似乎“深諳”事件應(yīng)急響應(yīng)的處理機制，這也使得他們能夠在應(yīng)對目標(biāo)組織事件應(yīng)急響應(yīng)的同時，持續(xù)地朝著他們的最終目標(biāo)邁進(jìn)。

Muddled Libra傾向于使用被盜數(shù)據(jù)瞄準(zhǔn)目標(biāo)用戶的下游客戶，如果允許，他們會反復(fù)回到受入侵的網(wǎng)絡(luò)系統(tǒng)刷新被盜數(shù)據(jù)集。有了這些被盜數(shù)據(jù)，即使在事件響應(yīng)之后，攻擊者仍然有能力回到最初的目標(biāo)網(wǎng)絡(luò)系統(tǒng)中。

Muddled Libra的攻擊鏈

Muddled Libra的攻擊鏈如下圖所示：

Muddled Libra的技戰(zhàn)術(shù)分析

網(wǎng)絡(luò)偵查

Muddled Libra一直表現(xiàn)出對目標(biāo)組織的深入了解，包括員工名單、工作角色和手機號碼。在某些情況下，這些數(shù)據(jù)可能是在早期針對上游目標(biāo)的數(shù)據(jù)泄漏攻擊中獲得的。

威脅行為者還經(jīng)常從非法數(shù)據(jù)代理獲取信息包，這些數(shù)據(jù)通常是通過使用諸如RedLine竊取程序之類的惡意軟件從受感染的設(shè)備中獲取的，其中包括公司和個人設(shè)備。隨著自帶設(shè)備（BYOD）政策的早期出現(xiàn)，以及混合工作解決方案的流行，公司數(shù)據(jù)和憑據(jù)被頻繁使用并緩存在個人設(shè)備上。這也不僅給分散IT資產(chǎn)的管理和保護(hù)提升了難度，而且也保護(hù)為信息竊取惡意軟件創(chuàng)造了有利可圖的目標(biāo)定位機會。

資源部署

在smishing攻擊中使用相似域名，已經(jīng)成為了Muddled Libra的標(biāo)志之一，這種策略是有效的，因為移動設(shè)備經(jīng)常會截斷SMS短信中的鏈接。而這些域名只會在最初的訪問階段使用，然后很快就會被刪除。

初始訪問

在研究人員可以確定Muddled Libra初始訪問媒介的安全事件中，都涉及到了smishing攻擊或社會工程學(xué)技術(shù)。在大多數(shù)事件中，威脅行為者會直接向目標(biāo)員工的手機發(fā)送釣魚信息，并聲稱他們需要更新賬戶信息或重新驗證公司應(yīng)用程序。消息中包含一個指向偽造公司域名的鏈接，該域名將模仿目標(biāo)用戶熟悉的服務(wù)登錄頁面。

持久化

Muddled Libra特別專注于維護(hù)對目標(biāo)環(huán)境的訪問權(quán)。雖然威脅參與者在入侵期間使用免費或演示版的遠(yuǎn)程監(jiān)控和管理（RMM）工具是很常見的，但Muddled Libra經(jīng)常安裝六個或更多這樣的實用程序。他們這樣做是為了確保即使發(fā)現(xiàn)了一個，他們也會保留一個進(jìn)入環(huán)境的后門。

之所以選擇使用RMM這樣的工具，是因為這些工具是合法工具，而且很多關(guān)鍵業(yè)務(wù)的應(yīng)用程序都會用到這些內(nèi)容，這也是Muddled Libra選擇利用這些工具的原因。這些工具都不是固有的惡意工具，而且在許多企業(yè)網(wǎng)絡(luò)的日常管理中會經(jīng)常使用到。因此，我們建議組織通過簽名來阻止任何未經(jīng)批準(zhǔn)在企業(yè)內(nèi)使用的RMM工具。

防御規(guī)避

Muddled Libra常用的安全防御機制規(guī)避技術(shù)如下：

• 禁用防病毒產(chǎn)品和基于主機的防火墻;
• 嘗試刪除防火墻配置文件;
• 創(chuàng)建策略或機制以關(guān)閉安全防御工具;
• 停用或卸載EDR和其他監(jiān)控產(chǎn)品;

除此之外，Muddled Libra在運營安全方面很謹(jǐn)慎，一直使用商業(yè)虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)來掩蓋其地理位置，并試圖融入合法流量。在其活動中，我們觀察到他們使用了多家供應(yīng)商的服務(wù)，其中包括Expres*VPN、NordVPN、Ultrasurf、Easy VPN和ZenMate。

憑證訪問

一旦捕獲了用于初始訪問的憑據(jù)，攻擊者就會選擇兩條路徑中的一條。在一種情況下，他們繼續(xù)從他們控制的機器進(jìn)行身份驗證流程，并立即請求多因素身份驗證（MFA）碼。在另一種情況下，他們會生成了一系列無休止的MFA提示，直到用戶出于疲勞或沮喪接受了一個提示（也稱為MFA轟炸）。

在建立了立足點后，Muddled Libra會迅速采取行動，提升訪問權(quán)限。這一階段使用的標(biāo)準(zhǔn)憑證竊取工具包括Mimikatz、ProcDump、DCSync、Raccoon Steiner和LAPSToolkit。

代碼執(zhí)行

在我們的調(diào)查中，Muddled Libra似乎主要對數(shù)據(jù)和憑據(jù)盜竊感興趣，我們很少會看到遠(yuǎn)程代碼執(zhí)行的情況。如果需要的話，該組織會選擇使用Sysinternals PsExec或Impacket完成代碼執(zhí)行。

數(shù)據(jù)收集

Muddled Libra似乎非常熟悉典型的企業(yè)數(shù)據(jù)管理機制，并且能夠成功地在目標(biāo)設(shè)備上的各種常見數(shù)據(jù)庫中找到敏感數(shù)據(jù)，其中包括結(jié)構(gòu)化或非結(jié)構(gòu)化數(shù)據(jù)庫，例如：

• Confluence
• Git
• Elastic
• Microsoft Office 365(SharePoint、Outlook...)
• 內(nèi)部消息平臺

除此之外，他們還會使用開源數(shù)據(jù)挖掘工具Snafler和本地工具搜索注冊表、本地驅(qū)動器和網(wǎng)絡(luò)共享，以查找*密碼*和安全限制等關(guān)鍵字。然后將泄露的數(shù)據(jù)暫存并存檔，以便使用WinRAR或PeaZip進(jìn)行數(shù)據(jù)提取。

數(shù)據(jù)提取

在某些情況下，Muddled Libra試圖建立反向代理shell或安全shell（SSH）隧道，主要用于命令和控制或數(shù)據(jù)提取。Muddled Libra還使用了常見的文件傳輸網(wǎng)站，如put[.]io、transfer[.]sh、wasabi[.]com或gofile[.]io來提取數(shù)據(jù)和投放攻擊工具。

總結(jié)

Muddled Libra的做事風(fēng)格非常穩(wěn)，可以對軟件自動化、BPO、電信和技術(shù)行業(yè)的組織構(gòu)成重大威脅。他們精通一系列安全規(guī)程，能夠在相對安全的環(huán)境中執(zhí)行自己的目標(biāo)任務(wù)，并迅速執(zhí)行其攻擊鏈。

安全防御人員必須結(jié)合尖端技術(shù)和全面的安全防御措施，以及對外部威脅和內(nèi)部事件的全面監(jiān)控，才能夠?qū)崿F(xiàn)信息安全的完整保護(hù)。

入侵威脅指標(biāo)

Muddled Libra活動相關(guān)的IP地址：

104.247.82[.]11
105.101.56[.]49
105.158.12[.]236
134.209.48[.]68
137.220.61[.]53
138.68.27[.]0
146.190.44[.]66
149.28.125[.]96
157.245.4[.]113
159.223.208[.]47
159.223.238[.]0
162.19.135[.]215
164.92.234[.]104
165.22.201[.]77
167.99.221[.]10
172.96.11[.]245
185.56.80[.]28
188.166.92[.]55
193.149.129[.]177
207.148.0[.]54
213.226.123[.]104
35.175.153[.]217
45.156.85[.]140
45.32.221[.]250
64.227.30[.]114
79.137.196[.]160
92.99.114[.]231