網(wǎng)絡(luò)安全研究人員披露了一項(xiàng)針對(duì)韓國(guó)僑民的新的Watering Hole攻擊的細(xì)節(jié)，該攻擊利用谷歌Chrome和Internet Explorer等瀏覽器的漏洞，部署惡意軟件進(jìn)行間諜活動(dòng)。

Trend Micro稱(chēng)其為“Operation Earth Kitsune”，該活動(dòng)包括使用SLUB（用于SLack和githUB）惡意軟件和兩個(gè)新的后門(mén)（dneSpy和agfSpy）來(lái)過(guò)濾系統(tǒng)信息并獲得對(duì)受損機(jī)器的額外控制。

網(wǎng)絡(luò)安全公司稱(chēng)，這些攻擊發(fā)生在3月、5月和9月。

Watering Hole允許攻擊者通過(guò)插入漏洞攻擊（意圖訪(fǎng)問(wèn)受害者的設(shè)備并用惡意軟件感染）來(lái)危害精心選擇的網(wǎng)站，從而危害目標(biāo)企業(yè)。

據(jù)說(shuō)，“Earth Kitsune”行動(dòng)已經(jīng)在與朝鮮有關(guān)的網(wǎng)站上部署了間諜軟件樣本，但是，這些網(wǎng)站的訪(fǎng)問(wèn)被阻止，因?yàn)檫@些網(wǎng)站是來(lái)自韓國(guó)IP地址的用戶(hù)。

多元化的運(yùn)動(dòng)

盡管此前涉及SLUB的操作是利用GitHub存儲(chǔ)平臺(tái)將惡意代碼片段下載到Windows系統(tǒng)，并將執(zhí)行結(jié)果發(fā)布到攻擊者控制的私人Slack渠道上，但最新的惡意軟件攻擊的目標(biāo)是Mattermost，一個(gè)類(lèi)似slacko的開(kāi)源協(xié)作消息傳遞系統(tǒng)。

Trend Micro表示：“這次行動(dòng)非常多樣化，他們?cè)谑芎φ邫C(jī)器上部署了大量樣本，并使用了多個(gè)命令和控制（C&C）服務(wù)器?！薄翱偟膩?lái)說(shuō)，我們發(fā)現(xiàn)該活動(dòng)使用了5臺(tái)C&C服務(wù)器，7個(gè)樣本，并利用了4個(gè)N-day的漏洞。”

攻擊者利用一個(gè)已經(jīng)修補(bǔ)過(guò)的Chrome漏洞（CVE-2019-5782），通過(guò)一個(gè)特別制作的HTML頁(yè)面，在沙箱中執(zhí)行任意代碼。

另外，Internet Explorer中的一個(gè)漏洞 （CVE-2020-0674）也被用來(lái)通過(guò)被攻擊的網(wǎng)站傳遞惡意軟件。

dneSpy和agfSpy-全功能間諜后門(mén)

盡管他們的感染媒介不同，但利用鏈的步驟相同——啟動(dòng)與C&C服務(wù)器的連接，接收dropper，然后檢查目標(biāo)系統(tǒng)上是否存在反惡意軟件解決方案，之后繼續(xù)下載三個(gè)后門(mén)示例（以“.jpg”格式）并執(zhí)行它們。

這次的改變是使用Mattermost服務(wù)器跟蹤多臺(tái)受感染機(jī)器的部署情況，此外還為每臺(tái)機(jī)器創(chuàng)建一個(gè)單獨(dú)的通道，從受感染主機(jī)檢索收集的信息。

在其他兩個(gè)后門(mén)dneSpy和agfSpy中，前者被設(shè)計(jì)成收集系統(tǒng)信息、截圖、下載并執(zhí)行從C&C服務(wù)器接收到的惡意命令，這些命令的結(jié)果被壓縮、加密并過(guò)濾到服務(wù)器上。

“dneSpy一個(gè)有趣的方面是它的 C&C pivoting行為，”Trend Micro的研究人員說(shuō)，“中央C&C服務(wù)器的響應(yīng)實(shí)際上是下一級(jí)C&C服務(wù)器的域/IP，dneSpy必須與該域/IP進(jìn)行通信才能接收進(jìn)一步的指令。”

與dneSpy相對(duì)應(yīng)的agfSpy自帶自己的C&C服務(wù)器機(jī)制，用于獲取shell命令并返回執(zhí)行結(jié)果。它的主要特性包括枚舉目錄和列表、上載、下載和執(zhí)行文件的功能。

研究人員得出結(jié)論：“Earth Kitsune”使用新樣本來(lái)避免被安全工具發(fā)現(xiàn)。

“從Chrome exploit?shellcode到agfSpy，操作中的元素都是自定義編碼的，這表明操作背后有一個(gè)組織。這個(gè)組織今年似乎非?；钴S，我們預(yù)測(cè)他們將繼續(xù)朝這個(gè)方向發(fā)展一段時(shí)間。”

?

?

消息來(lái)源：The Hacker News?；封面來(lái)自網(wǎng)絡(luò)；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/