
警惕境外APT組織在GitHub投毒,攻擊國(guó)內(nèi)安全從業(yè)者、指定大企業(yè)
近期網(wǎng)絡(luò)流傳網(wǎng)絡(luò)安全從業(yè)人員使用的某提權(quán)工具被植入后門(mén),造成了工具使用者的身份和數(shù)據(jù)泄露。經(jīng)微步研判,該事件為東南亞APT組織“海蓮花”利用GitHub發(fā)布帶有木馬的Cobalt Strike漏洞利用插件,針對(duì)網(wǎng)絡(luò)安全人員發(fā)起的定向攻擊。微步情報(bào)局已于2024年11月掌握該攻擊事件,并已定位到攻擊者Github賬號(hào)。
事件概要
事件詳情
2024年10月10號(hào),攻擊者注冊(cè)該賬號(hào),并偽裝成國(guó)內(nèi)某頭部FinTech公司安全研究員,在主頁(yè)fork各類(lèi)安全工具項(xiàng)目來(lái)降低受害者戒備心理。
2024年10月14號(hào)和10月21號(hào),攻擊者共發(fā)布兩個(gè)惡意投毒項(xiàng)目,內(nèi)容為國(guó)內(nèi)常用紅隊(duì)工具Cobalt Strike 的插件,包含新的漏洞利用功能,攻擊者在項(xiàng)目介紹中使用中文描述,以此來(lái)吸引更多的國(guó)內(nèi)安全行業(yè)目標(biāo)人員。
當(dāng)受害者使用Visual Studio打開(kāi) .sln 或者.csproj 項(xiàng)目文件后,Visual Studio 會(huì)自動(dòng)加載并調(diào)用與之關(guān)聯(lián)的 .suo 文件,從而觸發(fā)執(zhí)行其中惡意代碼。此次事件中,“海蓮花”首次使用了調(diào)用.suo文件的攻擊手法,惡意代碼執(zhí)行一次即會(huì)被覆蓋刪除,具有極強(qiáng)的隱蔽性。
根據(jù)后續(xù)分析發(fā)現(xiàn),此次投毒攻擊事件在國(guó)內(nèi)安全行業(yè)傳播范圍比較大,國(guó)內(nèi)多家安全相關(guān)公眾號(hào)分享此被投毒項(xiàng)目,存在大量瀏覽和轉(zhuǎn)發(fā)。
關(guān)聯(lián)分析
當(dāng)目標(biāo)受害者使用Visual Studio打開(kāi)項(xiàng)目的解決方案文件 (.sln) 進(jìn)行編譯時(shí),,Visual Studio會(huì)自動(dòng)加載并調(diào)用相關(guān)的 .suo (解決方案用戶選項(xiàng)) 文件,從而觸發(fā)其中惡意代碼執(zhí)行。并且由于 Visual Studio 在關(guān)閉時(shí)將新內(nèi)容保存到 .suo 文件,惡意代碼就會(huì)被清除,從而使整個(gè)攻擊行動(dòng)更難以被發(fā)現(xiàn)。
C:\Users\Public\TTDIndexerX64\TTDReplay.dll
附錄-IOC
回連Notion的page_id:
11f5edabab708090b982d1fe423f2c0b
[超站]友情鏈接:
四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級(jí)服務(wù)市場(chǎng):https://www.ijiandao.com/

隨時(shí)掌握互聯(lián)網(wǎng)精彩
- 1 中美完全可以相互成就、共同繁榮 7904144
- 2 加沙已變“死城” 7809595
- 3 暴雨中臺(tái)下只剩1名觀眾 演員仍開(kāi)演 7712482
- 4 近距離感受“大國(guó)重器” 7615849
- 5 美國(guó)大豆中國(guó)訂單量仍為零 7520484
- 6 試管嬰兒患腎病 父母要求醫(yī)院擔(dān)全責(zé) 7429086
- 7 女子婚后起訴父母返還18萬(wàn)彩禮 7329472
- 8 女童20樓墜至13樓雨棚 被業(yè)主拽住 7234036
- 9 穿始祖鳥(niǎo)是為親近自然而非看它炸山 7143564
- 10 印空軍參謀長(zhǎng):我們給世界上了一課 7042580