近期，針對(duì)說(shuō)中文的企業(yè)的新一輪網(wǎng)絡(luò)攻擊活動(dòng)引起了廣泛關(guān)注。攻擊者使用了Cobalt Strike載荷，針對(duì)特定目標(biāo)進(jìn)行了精確打擊。Securonix研究人員Den Iuzvyk和Tim Peck在報(bào)告中指出，攻擊者設(shè)法在系統(tǒng)內(nèi)橫向移動(dòng)，建立持久性，并在兩個(gè)多月的時(shí)間里未被發(fā)現(xiàn)。

攻擊概括

這個(gè)秘密的攻擊活動(dòng)代號(hào)為SLOW#TEMPEST，尚未歸因于任何已知的威脅行為者。攻擊開(kāi)始于惡意的ZIP文件，當(dāng)這些文件被解壓縮時(shí)，會(huì)激活感染鏈，導(dǎo)致在被攻擊的系統(tǒng)上部署后開(kāi)發(fā)工具包。攻擊者通過(guò)發(fā)送精心設(shè)計(jì)的釣魚(yú)郵件，誘導(dǎo)受害者下載并執(zhí)行惡意文件，從而啟動(dòng)感染鏈。

研究人員強(qiáng)調(diào)，鑒于誘餌文件中使用的語(yǔ)言，與中國(guó)相關(guān)的商業(yè)或政府部門(mén)很可能是其特定的目標(biāo)。尤其是那些雇傭了遵守“遠(yuǎn)程控制軟件規(guī)定”的人員的公司，通常被認(rèn)為具有較高的商業(yè)價(jià)值和數(shù)據(jù)價(jià)值，吸引了攻擊者的注意。

值得注意的是，感染鏈還設(shè)置了定期執(zhí)行名為"lld.exe"的惡意文件的任務(wù)，該文件可以直接在內(nèi)存中運(yùn)行任意shellcode，從而在磁盤(pán)上留下最小的足跡。

研究人員表示，攻擊者進(jìn)一步通過(guò)手動(dòng)提升內(nèi)置訪客用戶帳戶的權(quán)限，使自己能夠在被攻擊的系統(tǒng)中隱藏。這個(gè)賬戶通常被禁用并且最小化權(quán)限，但只有將其添加到關(guān)鍵的管理員組并分配新密碼，就可以轉(zhuǎn)變成一個(gè)強(qiáng)大的訪問(wèn)點(diǎn)。這個(gè)后門(mén)允許他們以最小的檢測(cè)維持對(duì)系統(tǒng)的訪問(wèn)，畢竟訪客賬戶通常不像其他用戶賬戶那樣受到密切監(jiān)控。

未知的威脅行為者隨后使用遠(yuǎn)程桌面協(xié)議（RDP）和通過(guò)Mimikatz密碼提取工具獲得的憑據(jù)，在網(wǎng)絡(luò)中橫向移動(dòng)，然后在每臺(tái)機(jī)器上設(shè)置返回他們命令與控制（C2）服務(wù)器的遠(yuǎn)程連接。

攻擊細(xì)節(jié)

(1) 攻擊手段：Beacon和Listener

• Beacon：Beacon是Cobalt Strike運(yùn)行在目標(biāo)主機(jī)上的payload，負(fù)責(zé)與攻擊者的命令與控制（C2）服務(wù)器通信，接收和執(zhí)行任務(wù)。
• Listener：Listener模塊用于接收Beacon的請(qǐng)求信息，并轉(zhuǎn)發(fā)給攻擊者的Team Server控制器。

(2) 隱蔽通信

• 多種通信協(xié)議：Cobalt Strike支持HTTP、HTTPS、DNS和SMB等多種通信協(xié)議，確保C2通信的隱蔽性和穩(wěn)定性。
• 分段載荷：攻擊者使用分段載荷技術(shù)，防止shellcode過(guò)長(zhǎng)導(dǎo)致異常，并通過(guò)多階段下載和解碼來(lái)規(guī)避檢測(cè)。

Cobalt Strike 分析

Cobalt Strike Payloads確實(shí)支持多種語(yǔ)言環(huán)境，并且可以在不同的操作系統(tǒng)上運(yùn)行。

(1) Cobalt Strike Payloads支持的語(yǔ)言

• C
• C#
• Python
• Java
• Perl
• Powershell腳本
• Powershell命令
• Ruby
• Raw
• 免殺框架Veli中的shellcode

(2) Cobalt Strike Payloads在不同操作系統(tǒng)上的使用情況

Cobalt Strike Payloads可以在Linux和Windows上運(yùn)行，這得益于其基于Meterpreter shellcode的設(shè)計(jì)，使得它能夠跨平臺(tái)執(zhí)行。

(3) Cobalt Strike Payloads的本地化支持

Cobalt Strike Payloads的本地化支持主要通過(guò)其模塊化設(shè)計(jì)實(shí)現(xiàn)，允許攻擊者根據(jù)目標(biāo)環(huán)境定制payload，以繞過(guò)本地安全檢測(cè)。

(4) Cobalt Strike Payloads的檢測(cè)與防御

檢測(cè)Cobalt Strike Payloads通常依賴于內(nèi)存取證技術(shù)和特定的工具，如Yara規(guī)則。防御措施包括使用端點(diǎn)檢測(cè)和響應(yīng)(EDR)技術(shù)來(lái)實(shí)時(shí)監(jiān)控內(nèi)存活動(dòng)，以及定期更新安全軟件和系統(tǒng)補(bǔ)丁。

攻擊影響

• 數(shù)據(jù)泄露：攻擊者通過(guò)Cobalt Strike獲取了受感染系統(tǒng)上的敏感數(shù)據(jù)，包括員工和客戶的個(gè)人信息。
• 系統(tǒng)控制：攻擊者能夠在受感染系統(tǒng)中執(zhí)行任意代碼，控制系統(tǒng)行為，甚至加密文件進(jìn)行勒索。
• 系統(tǒng)中斷：攻擊導(dǎo)致一些企業(yè)系統(tǒng)中斷，員工不得不重新使用紙張和筆進(jìn)行記錄，經(jīng)銷(xiāo)商甚至讓員工回家，因?yàn)橄到y(tǒng)中斷導(dǎo)致無(wú)法進(jìn)行正常工作。
• 業(yè)務(wù)中斷：企業(yè)因系統(tǒng)中斷和數(shù)據(jù)泄露，面臨巨大的經(jīng)濟(jì)損失和業(yè)務(wù)中斷風(fēng)險(xiǎn)。

總的來(lái)說(shuō)，針對(duì)說(shuō)中文的企業(yè)的新一輪網(wǎng)絡(luò)攻擊活動(dòng)正愈演愈烈，攻擊者使用了Cobalt Strike載荷，通過(guò)魚(yú)叉式釣魚(yú)和隱蔽通信手段，成功滲透并控制了目標(biāo)系統(tǒng)。

但這并不只是特例。近年來(lái)越來(lái)越多的APT組織持續(xù)對(duì)我國(guó)包括企業(yè)、政府部門(mén)、研究機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施等高價(jià)值機(jī)構(gòu)發(fā)起網(wǎng)絡(luò)攻擊。

報(bào)告數(shù)據(jù)顯示，2024年上半年，針對(duì)中文企業(yè)的網(wǎng)絡(luò)攻擊呈現(xiàn)出攻擊頻次和強(qiáng)度增加、受害行業(yè)多樣化以及新型攻擊手段不斷涌現(xiàn)的特點(diǎn)。與2023年同期相比，2024年上半年的網(wǎng)絡(luò)攻擊頻次和強(qiáng)度均有所增加。特別是APT攻擊和勒索軟件攻擊的次數(shù)大幅上漲，表明這些攻擊方式仍然是網(wǎng)絡(luò)安全領(lǐng)域的主要威脅。

參考來(lái)源：https://thehackernews.com/2024/08/new-cyberattack-targets-chinese.html