黄色网站入口国产美女,精品国产欧美另类一区,国产一区二区美女自慰,日日摸夜夜添无码国产

選擇你喜歡的標(biāo)簽
我們會(huì)為你匹配適合你的網(wǎng)址導(dǎo)航

    確認(rèn) 跳過(guò)

    跳過(guò)將刪除所有初始化信息

    您的位置:0XUCN > 資訊 > 安全
    新聞分類(lèi)

    警惕境外APT組織在GitHub投毒,攻擊國(guó)內(nèi)安全從業(yè)者、指定大企業(yè)

    安全 PRO 稿源:微步在線研究響應(yīng)中心 2025-01-08 22:15

    近期網(wǎng)絡(luò)流傳網(wǎng)絡(luò)安全從業(yè)人員使用的某提權(quán)工具被植入后門(mén),造成了工具使用者的身份和數(shù)據(jù)泄露。經(jīng)微步研判,該事件為東南亞APT組織“海蓮花”利用GitHub發(fā)布帶有木馬的Cobalt Strike漏洞利用插件,針對(duì)網(wǎng)絡(luò)安全人員發(fā)起的定向攻擊。微步情報(bào)局已于2024年11月掌握該攻擊事件,并已定位到攻擊者Github賬號(hào)。

    攻擊者在此次攻擊中首次使用了向Visual Studio工程中投遞惡意.suo文件的攻擊手法,當(dāng)受害者編譯該Visual Studio工程時(shí),木馬會(huì)自動(dòng)執(zhí)行,攻擊方式新穎且隱蔽。
    “海蓮花”在近期多個(gè)事件中分別針對(duì)國(guó)內(nèi)不同行業(yè)和人群發(fā)起定向攻擊,并會(huì)定向攻擊指定大型科技企業(yè),首次攻擊時(shí)間在2024年9月中旬至10月初,微步情報(bào)局已捕獲多個(gè)可疑資產(chǎn)及木馬文件。
    微步通過(guò)對(duì)相關(guān)樣本、IP 和域名的溯源分析,提取多條相關(guān)IOC,可用于威脅情報(bào)檢測(cè)。微步威脅感知平臺(tái) TDP 、威脅情報(bào)管理平臺(tái) TIP 、威脅情報(bào)云 API 、云沙箱 S、沙箱分析平臺(tái) OneSandbox、互聯(lián)網(wǎng)安全接入服務(wù) OneDNS 、威脅防御系統(tǒng) OneSIG 、終端安全管理平臺(tái) OneSEC 等均已支持對(duì)此次攻擊事件的檢測(cè)與防護(hù)。

    事件概要

    攻擊目標(biāo)
    國(guó)內(nèi)安全研究人員
    攻擊時(shí)間
    ?2024年10月中旬
    攻擊向量
    Github投毒
    攻擊復(fù)雜度
    ?中
    最終目的
    ?遠(yuǎn)程控制、情報(bào)竊密

    事件詳情

    此次“海蓮花”攻擊的主要手法是在GitHub上發(fā)布安全工具開(kāi)源項(xiàng)目,吸引國(guó)內(nèi)安全相關(guān)研究人員下載和二次傳播,投毒賬號(hào)鏈接:https://github.com/0xjiefeng

    2024年10月10號(hào),攻擊者注冊(cè)該賬號(hào),并偽裝成國(guó)內(nèi)某頭部FinTech公司安全研究員,在主頁(yè)fork各類(lèi)安全工具項(xiàng)目來(lái)降低受害者戒備心理。

    2024年10月14號(hào)和10月21號(hào),攻擊者共發(fā)布兩個(gè)惡意投毒項(xiàng)目,內(nèi)容為國(guó)內(nèi)常用紅隊(duì)工具Cobalt Strike 的插件,包含新的漏洞利用功能,攻擊者在項(xiàng)目介紹中使用中文描述,以此來(lái)吸引更多的國(guó)內(nèi)安全行業(yè)目標(biāo)人員。

    目前攻擊者賬號(hào)已將發(fā)布的項(xiàng)目刪除,但是相關(guān)投毒項(xiàng)目代碼已被合并到其他國(guó)內(nèi)安全研究者的存儲(chǔ)庫(kù)中,至今仍可訪問(wèn)。
    項(xiàng)目介紹部分的中文表達(dá)存在明顯的機(jī)器翻譯痕跡,主要引導(dǎo)目標(biāo)用戶使用Visual Studio打開(kāi)項(xiàng)目的.sln文件來(lái)觸發(fā)后續(xù)惡意代碼執(zhí)行。

    當(dāng)受害者使用Visual Studio打開(kāi) .sln 或者.csproj 項(xiàng)目文件后,Visual Studio 會(huì)自動(dòng)加載并調(diào)用與之關(guān)聯(lián)的 .suo 文件,從而觸發(fā)執(zhí)行其中惡意代碼。此次事件中,“海蓮花”首次使用了調(diào)用.suo文件的攻擊手法,惡意代碼執(zhí)行一次即會(huì)被覆蓋刪除,具有極強(qiáng)的隱蔽性。

    相關(guān)的技術(shù)概念驗(yàn)證可參考文章:
    https://github.com/cjm00n/EvilSln

    根據(jù)后續(xù)分析發(fā)現(xiàn),此次投毒攻擊事件在國(guó)內(nèi)安全行業(yè)傳播范圍比較大,國(guó)內(nèi)多家安全相關(guān)公眾號(hào)分享此被投毒項(xiàng)目,存在大量瀏覽和轉(zhuǎn)發(fā)。

    關(guān)聯(lián)分析

    當(dāng)目標(biāo)受害者使用Visual Studio打開(kāi)項(xiàng)目的解決方案文件 (.sln) 進(jìn)行編譯時(shí),,Visual Studio會(huì)自動(dòng)加載并調(diào)用相關(guān)的 .suo (解決方案用戶選項(xiàng)) 文件,從而觸發(fā)其中惡意代碼執(zhí)行。并且由于 Visual Studio 在關(guān)閉時(shí)將新內(nèi)容保存到 .suo 文件,惡意代碼就會(huì)被清除,從而使整個(gè)攻擊行動(dòng)更難以被發(fā)現(xiàn)。

    通過(guò)加載VSPackage中VsToolboxService流,利用BinaryFormatter 反序列化加載執(zhí)行其中用base64編碼后的惡意代碼。
    經(jīng)過(guò)樣本分析發(fā)現(xiàn),執(zhí)行項(xiàng)目后會(huì)將惡意白加黑組件釋放到目錄:
    C:\Users\Public\TTDIndexerX64\TraceIndexer.exe

    C:\Users\Public\TTDIndexerX64\TTDReplay.dll

    并將其寫(xiě)入到自啟動(dòng)注冊(cè)表:
    在Shellcode執(zhí)行方面則是使用到海蓮花組織常用dll鏤空手法,通過(guò)加載系統(tǒng)xpsservices.dll后將其鏤空,再把shellcode覆寫(xiě)到該dll的內(nèi)存空間中執(zhí)行惡意功能。該程序最終利用國(guó)外筆記平臺(tái)Notion的api來(lái)實(shí)現(xiàn)c2通信,規(guī)避流量檢測(cè)和攔截,將命令嵌入到 Notion 工作區(qū)中實(shí)現(xiàn)初始的收發(fā)指令。
    在樣本層面上,根據(jù)該樣本代碼結(jié)構(gòu)、加載方式、元數(shù)據(jù)、字符串等特征可以關(guān)聯(lián)到更多相似文件,其中關(guān)聯(lián)的樣本中“tbs.dll”的父文件則是安全企業(yè)披露的海蓮花組織以魚(yú)叉郵件攻擊國(guó)內(nèi)政企行業(yè)樣本。
    微步測(cè)繪數(shù)據(jù)關(guān)聯(lián)發(fā)現(xiàn),該組織在此攻擊活動(dòng)的資產(chǎn)不僅限于單一的C2資產(chǎn),攻擊資產(chǎn)存在較為顯著的端口測(cè)繪特征,本次海蓮花組織開(kāi)始活躍攻擊時(shí)間范圍大致在9月中旬到10月初,根據(jù)測(cè)繪數(shù)據(jù)以及海蓮花本批攻擊的樣本編譯時(shí)間判斷,在資產(chǎn)部署時(shí)間上基本吻合。通過(guò)相關(guān)的特征檢索,還發(fā)現(xiàn)了其他活躍的可疑線索C2地址。
    在分析同批攻擊樣本時(shí)發(fā)現(xiàn),海蓮花此次攻擊目的性較強(qiáng),部分樣本在執(zhí)行過(guò)程中會(huì)檢測(cè)受害者計(jì)算機(jī)名和目標(biāo)是否一致,來(lái)定向攻擊特定大型科技企業(yè)用戶。

    附錄-IOC

    回連Notion的page_id:

    11f5edabab708090b982d1fe423f2c0b

    相關(guān)海蓮花攻擊C2:
    190.211.254.203:4443
    45.41.204.18:8443
    45.41.204.15:443
    178.255.220.115:443
    103.91.67.74:4443
    154.93.37.106:443
    193.138.195.192:8443
    38.54.59.112:80

    0XU.CN

    [超站]友情鏈接:

    四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
    關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級(jí)服務(wù)市場(chǎng):https://www.ijiandao.com/

    圖庫(kù)
    公眾號(hào) 關(guān)注網(wǎng)絡(luò)尖刀微信公眾號(hào)
    隨時(shí)掌握互聯(lián)網(wǎng)精彩
    贊助鏈接