针对中国公务人员的大规模网络钓鱼活动曝光

近日，一场针对中国公务员的大规模网络钓鱼活动引起了安全专家的关注。美国威胁检测、调查和响应工具供应商Securonix揭露了这一隐蔽的网络攻击行动，攻击者利用腾讯云服务作为攻击平台，目标是在中国政府和企业网络中长期潜伏并伺机窃取信息。

针对公务人员的网络钓鱼活动
Securonix的研究人员Den Iuzvyk和Tim Peck在上周表示，他们发现了一起针对中文用户的隐蔽活动，攻击者通过钓鱼邮件发送Cobalt Strike有效载荷，邮件中包含压缩的Zip文件，标题为“20240739人员名单信息.zip”，意为“人员名单信息”。

点击该文件会解压出一个名为“违规远程控制软件人员名单.docx.lnk”的文件链接，意为“违反远程控制软件规定的人员名单”。研究者据此推测，攻击者的目标很可能是特定的中国政府部门公务人员。

攻击手法分析
点击该链接会执行代码，运行嵌套目录中的恶意DLL文件dui70.dll和UI.exe。UI.exe是合法Windows可执行文件LicensingUI.exe的重命名版本，该文件通常用于通知用户有关软件许可和激活的信息。

研究人员发现，攻击者利用DLL路径遍历漏洞，通过执行重命名的UI.exe文件，加载同名的恶意DLL文件，从而实现攻击。

一旦UI.exe运行，恶意DLL实际上是Cobalt Strike攻击工具包的植入物，它会注入到Windows二进制文件“runonce.exe”中，给予攻击者对主机的完全控制权。

攻击者随后会部署其他恶意软件，包括fpr.exe、iox.exe、fscan.exe、netspy.exe、lld.exe、xxx.txt、tmp.log、sharpdecryptpwd.exe、pvefindaduser.exe和gogo_windows_amd64.exe等，这些工具用于端口转发、网络侦察、扫描网络漏洞、收集凭据、枚举Windows Active Directory用户等。

Securonix观察到攻击者在受害者网络中建立持久访问，并使用远程桌面协议进行横向移动。攻击者的目标包括获取Active Directory配置信息和公共IP地址。

研究人员指出，所有在此次攻击中使用的IP地址均托管在腾讯云服务上，包括其云对象存储服务。

幕后黑手：技术高明且善于潜伏的APT组织
Securonix将此次行动命名为SLOW#TEMPEST，因为攻击者愿意潜伏一周或两周以实现其目标。

研究人员Iuzvyk和Peck将攻击者描述为“高度组织化和复杂化，可能由经验丰富的威胁行为者策划，他们有使用CobaltStrike等高级利用框架和其他广泛的后利用工具的经验。”

尽管Securonix未能找到将此次攻击与任何已知的APT组织联系起来的有力证据，但攻击的复杂性表明攻击者在初始入侵、持久性、权限提升和跨网络横向移动方面拥有丰富经验和成熟技术手段。

结语
此次针对中国公务员的网络钓鱼活动再次提醒我们，网络安全威胁无处不在，政府部门和企业必须加强网络安全防护，提高对钓鱼邮件和恶意软件的警惕，以保护敏感信息和网络安全。同时，这也表明网络安全是一个全球性的问题，需要国际社会的共同努力和合作来应对。

参考链接：https://www.securonix.com/blog/from-cobalt-strike-to-mimikatz-slowtempest/