近期網(wǎng)絡(luò)流傳網(wǎng)絡(luò)安全從業(yè)人員使用的某提權(quán)工具被植入后門(mén)，造成了工具使用者的身份和數(shù)據(jù)泄露。經(jīng)微步研判，該事件為東南亞APT組織“海蓮花”利用GitHub發(fā)布帶有木馬的Cobalt Strike漏洞利用插件，針對(duì)網(wǎng)絡(luò)安全人員發(fā)起的定向攻擊。微步情報(bào)局已于2024年11月掌握該攻擊事件，并已定位到攻擊者Github賬號(hào)。

事件概要

2024年10月10號(hào)，攻擊者注冊(cè)該賬號(hào)，并偽裝成國(guó)內(nèi)某頭部FinTech公司安全研究員，在主頁(yè)fork各類(lèi)安全工具項(xiàng)目來(lái)降低受害者戒備心理。

2024年10月14號(hào)和10月21號(hào)，攻擊者共發(fā)布兩個(gè)惡意投毒項(xiàng)目，內(nèi)容為國(guó)內(nèi)常用紅隊(duì)工具Cobalt Strike 的插件，包含新的漏洞利用功能，攻擊者在項(xiàng)目介紹中使用中文描述，以此來(lái)吸引更多的國(guó)內(nèi)安全行業(yè)目標(biāo)人員。

當(dāng)受害者使用Visual Studio打開(kāi) .sln 或者.csproj 項(xiàng)目文件后，Visual Studio 會(huì)自動(dòng)加載并調(diào)用與之關(guān)聯(lián)的 .suo 文件，從而觸發(fā)執(zhí)行其中惡意代碼。此次事件中，“海蓮花”首次使用了調(diào)用.suo文件的攻擊手法，惡意代碼執(zhí)行一次即會(huì)被覆蓋刪除，具有極強(qiáng)的隱蔽性。

根據(jù)后續(xù)分析發(fā)現(xiàn)，此次投毒攻擊事件在國(guó)內(nèi)安全行業(yè)傳播范圍比較大，國(guó)內(nèi)多家安全相關(guān)公眾號(hào)分享此被投毒項(xiàng)目，存在大量瀏覽和轉(zhuǎn)發(fā)。

關(guān)聯(lián)分析

當(dāng)目標(biāo)受害者使用Visual Studio打開(kāi)項(xiàng)目的解決方案文件 (.sln) 進(jìn)行編譯時(shí)，,Visual Studio會(huì)自動(dòng)加載并調(diào)用相關(guān)的 .suo (解決方案用戶選項(xiàng)) 文件，從而觸發(fā)其中惡意代碼執(zhí)行。并且由于 Visual Studio 在關(guān)閉時(shí)將新內(nèi)容保存到 .suo 文件，惡意代碼就會(huì)被清除，從而使整個(gè)攻擊行動(dòng)更難以被發(fā)現(xiàn)。

C:\Users\Public\TTDIndexerX64\TTDReplay.dll

附錄-IOC

回連Notion的page_id：

11f5edabab708090b982d1fe423f2c0b

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/