针对中国公务人员的大规模网络钓鱼活动曝光
近日,一场针对中国公务员的大规模网络钓鱼活动引起了安全专家的关注。美国威胁检测、调查和响应工具供应商Securonix揭露了这一隐蔽的网络攻击行动,攻击者利用腾讯云服务作为攻击平台,目标是在中国政府和企业网络中长期潜伏并伺机窃取信息。
针对公务人员的网络钓鱼活动
Securonix的研究人员Den Iuzvyk和Tim Peck在上周表示,他们发现了一起针对中文用户的隐蔽活动,攻击者通过钓鱼邮件发送Cobalt Strike有效载荷,邮件中包含压缩的Zip文件,标题为“20240739人员名单信息.zip”,意为“人员名单信息”。
点击该文件会解压出一个名为“违规远程控制软件人员名单.docx.lnk”的文件链接,意为“违反远程控制软件规定的人员名单”。研究者据此推测,攻击者的目标很可能是特定的中国政府部门公务人员。
攻击手法分析
点击该链接会执行代码,运行嵌套目录中的恶意DLL文件dui70.dll和UI.exe。UI.exe是合法Windows可执行文件LicensingUI.exe的重命名版本,该文件通常用于通知用户有关软件许可和激活的信息。
研究人员发现,攻击者利用DLL路径遍历漏洞,通过执行重命名的UI.exe文件,加载同名的恶意DLL文件,从而实现攻击。
一旦UI.exe运行,恶意DLL实际上是Cobalt Strike攻击工具包的植入物,它会注入到Windows二进制文件“runonce.exe”中,给予攻击者对主机的完全控制权。
攻击者随后会部署其他恶意软件,包括fpr.exe、iox.exe、fscan.exe、netspy.exe、lld.exe、xxx.txt、tmp.log、sharpdecryptpwd.exe、pvefindaduser.exe和gogo_windows_amd64.exe等,这些工具用于端口转发、网络侦察、扫描网络漏洞、收集凭据、枚举Windows Active Directory用户等。
Securonix观察到攻击者在受害者网络中建立持久访问,并使用远程桌面协议进行横向移动。攻击者的目标包括获取Active Directory配置信息和公共IP地址。
研究人员指出,所有在此次攻击中使用的IP地址均托管在腾讯云服务上,包括其云对象存储服务。
幕后黑手:技术高明且善于潜伏的APT组织
Securonix将此次行动命名为SLOW#TEMPEST,因为攻击者愿意潜伏一周或两周以实现其目标。
研究人员Iuzvyk和Peck将攻击者描述为“高度组织化和复杂化,可能由经验丰富的威胁行为者策划,他们有使用CobaltStrike等高级利用框架和其他广泛的后利用工具的经验。”
尽管Securonix未能找到将此次攻击与任何已知的APT组织联系起来的有力证据,但攻击的复杂性表明攻击者在初始入侵、持久性、权限提升和跨网络横向移动方面拥有丰富经验和成熟技术手段。
结语
此次针对中国公务员的网络钓鱼活动再次提醒我们,网络安全威胁无处不在,政府部门和企业必须加强网络安全防护,提高对钓鱼邮件和恶意软件的警惕,以保护敏感信息和网络安全。同时,这也表明网络安全是一个全球性的问题,需要国际社会的共同努力和合作来应对。
参考链接:https://www.securonix.com/blog/from-cobalt-strike-to-mimikatz-slowtempest/
第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom
除非注明,本站文章均为原创或编译,未经许可严禁转载。
相关文章: