新威胁出现!亚洲多家医疗和航运公司遭攻击

亚洲的多家航运公司和医学实验室近日遭到了一个疑似间谍活动的攻击。

亚洲的多家航运公司和医学实验室近日遭到了一个疑似间谍活动的攻击,这次攻击没有部署任何自定义恶意软件,似乎完全依靠公开可用的LotL工具。

幕后黑手Hydrochasma没有与任何先前已知的组织有联系,但似乎对与COVID-19治疗或疫苗有关的行业感兴趣。

这一活动至少从2022年10月开始就一直在进行。虽然塞讯安全实验室没有发现这次活动中有任何数据泄露,但攻击目标以及所使用的一些工具表明,这次活动最有可能的动机是收集情报。

Hydrochasma使用的感染媒介很有可能是钓鱼邮件。在受攻击的系统上看到的第一个可疑活动是一个诱饵文件,文件名使用了受害组织的母语,看上去像是一个附件:

[TRANSLATED FROM THE ORIGINAL] Product Specification-Freight-Company Qualification Information wps-pdf Export.pdf.exe

另一个诱饵文件伪装成一份简历:

[TRANSLATED FROM THE ORIGINAL] [REDACTED] University-Development Engineer.exe

在对一台机器上进行初始访问后,攻击者投放了快速反向代理(FRP),一个可以将位于NAT或防火墙后面的本地服务器暴露在互联网上的工具。它投放了一个合法的Microsoft Edge更新文件:%TEMP%\MicrosoftEdgeUpdate.exe

接着,另一个文件,%TEMP%/msedgeupdate.dll,出现在了受害者的机器上。但这个文件实际上是Meterpreter,一个属于Metasploit框架的工具,可用于远程访问。

随后出现在受害者的网络上的工具包括:

  • Gogo扫描工具:一个自动扫描引擎,最初是设计给红队使用的。

  • Process Dumper (lsass.exe):一个允许攻击者Dump域名密码的工具。

  • Cobalt Strike Beacon:一个现成的工具,可以用来执行命令,注入其他进程,提升当前进程,或冒充其他进程,并上传和下载文件。它表面上可以作为渗透测试工具被合法使用,但无一例外地被攻击者所利用。

  • AlliN扫描工具:一种渗透测试扫描工具,可用于对内网的横向渗透。

  • Fscan:一个公开可用的黑客工具,可以扫描开放的端口等。

  • Dogz代理工具:一个免费的VPN代理工具。

攻击者还在受害者网络上部署了一个shellcode加载器和一个损坏的便携式可执行文件(PE)。

在这几起攻击活动中观察到的其他战术、技术和程序(TTP)包括:

  • SoftEtherVPN:这一工具的出现是我们调查这一活动的首要原因。它是免费的、开源的、跨平台的VPN软件。

  • Procdump:Microsoft的Sysinternals工具,用于监控应用程序的CPU峰值和生成崩溃Dump,但也可以用作一般的进程Dump工具。

  • BrowserGhost: 一个公开可用的工具,可以从互联网浏览器中获取密码。

  • Gost代理:一个隧道工具。Ntlmrelay:NTLM中继攻击允许攻击者拦截有效的认证请求,以访问网络服务。

  • 任务调度器:允许在计算机上自动执行任务。

  • Go-strip:用于减小Go二进制文件的大小。

  • HackBrowserData: 一个可以解密浏览器数据的开源工具。

Hydrochasma部署的工具表明,他们希望实现对受害者机器的持续、隐蔽访问,以及努力提升权限,并在受害者网络中横向移动。

虽然我们的安全研究人员没有观察到受害者数据被泄露,但Hydrochasma部署的一些工具确实允许远程访问,并有可能被用于外泄数据。受到攻击的组织也表明这些攻击的动机目前可能只是收集情报。

同样值得注意的是,这些攻击中没有使用自定义的恶意软件。完全依靠现成公开的工具可以使攻击更加隐蔽,同时也使检测与追溯更加困难。没有任何证据可以将这次活动和已知威胁组织联系起来,因此我们使用 Hydrochasma 来对这些活动进行命名–。

塞讯安全度量验证平台已将此技术纳入模拟攻击库,在平台内搜索“Hydrochasma”即可获得相关攻击模拟实验,我们将使用参照真实攻击且覆盖各个攻击阶段的攻击实验进行可重复的持续性端到端的测试,从而验证已部署的安全措施是否正在按照预期效果工作,是否能够有效应对这一攻击手段。