黄色网站入口国产美女,精品国产欧美另类一区,国产一区二区美女自慰,日日摸夜夜添无码国产

選擇你喜歡的標(biāo)簽
我們會為你匹配適合你的網(wǎng)址導(dǎo)航

    確認(rèn) 跳過

    跳過將刪除所有初始化信息

    警惕境外APT組織在GitHub投毒,攻擊國內(nèi)安全從業(yè)者、指定大企業(yè)

    安全 2025-01-08 22:15

    聲明:該文章來自(微步在線研究響應(yīng)中心)版權(quán)由原作者所有,K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

    近期網(wǎng)絡(luò)流傳網(wǎng)絡(luò)安全從業(yè)人員使用的某提權(quán)工具被植入后門,造成了工具使用者的身份和數(shù)據(jù)泄露。經(jīng)微步研判,該事件為東南亞APT組織“海蓮花”利用GitHub發(fā)布帶有木馬的Cobalt Strike漏洞利用插件,針對網(wǎng)絡(luò)安全人員發(fā)起的定向攻擊。微步情報(bào)局已于2024年11月掌握該攻擊事件,并已定位到攻擊者Github賬號。

    攻擊者在此次攻擊中首次使用了向Visual Studio工程中投遞惡意.suo文件的攻擊手法,當(dāng)受害者編譯該Visual Studio工程時(shí),木馬會自動(dòng)執(zhí)行,攻擊方式新穎且隱蔽。
    “海蓮花”在近期多個(gè)事件中分別針對國內(nèi)不同行業(yè)和人群發(fā)起定向攻擊,并會定向攻擊指定大型科技企業(yè),首次攻擊時(shí)間在2024年9月中旬至10月初,微步情報(bào)局已捕獲多個(gè)可疑資產(chǎn)及木馬文件。
    微步通過對相關(guān)樣本、IP 和域名的溯源分析,提取多條相關(guān)IOC,可用于威脅情報(bào)檢測。微步威脅感知平臺 TDP 、威脅情報(bào)管理平臺 TIP 、威脅情報(bào)云 API 、云沙箱 S、沙箱分析平臺 OneSandbox、互聯(lián)網(wǎng)安全接入服務(wù) OneDNS 、威脅防御系統(tǒng) OneSIG 、終端安全管理平臺 OneSEC 等均已支持對此次攻擊事件的檢測與防護(hù)。

    事件概要

    攻擊目標(biāo)
    國內(nèi)安全研究人員
    攻擊時(shí)間
    ?2024年10月中旬
    攻擊向量
    Github投毒
    攻擊復(fù)雜度
    ?中
    最終目的
    ?遠(yuǎn)程控制、情報(bào)竊密

    事件詳情

    此次“海蓮花”攻擊的主要手法是在GitHub上發(fā)布安全工具開源項(xiàng)目,吸引國內(nèi)安全相關(guān)研究人員下載和二次傳播,投毒賬號鏈接:https://github.com/0xjiefeng

    2024年10月10號,攻擊者注冊該賬號,并偽裝成國內(nèi)某頭部FinTech公司安全研究員,在主頁fork各類安全工具項(xiàng)目來降低受害者戒備心理。

    2024年10月14號和10月21號,攻擊者共發(fā)布兩個(gè)惡意投毒項(xiàng)目,內(nèi)容為國內(nèi)常用紅隊(duì)工具Cobalt Strike 的插件,包含新的漏洞利用功能,攻擊者在項(xiàng)目介紹中使用中文描述,以此來吸引更多的國內(nèi)安全行業(yè)目標(biāo)人員。

    目前攻擊者賬號已將發(fā)布的項(xiàng)目刪除,但是相關(guān)投毒項(xiàng)目代碼已被合并到其他國內(nèi)安全研究者的存儲庫中,至今仍可訪問。
    項(xiàng)目介紹部分的中文表達(dá)存在明顯的機(jī)器翻譯痕跡,主要引導(dǎo)目標(biāo)用戶使用Visual Studio打開項(xiàng)目的.sln文件來觸發(fā)后續(xù)惡意代碼執(zhí)行。

    當(dāng)受害者使用Visual Studio打開 .sln 或者.csproj 項(xiàng)目文件后,Visual Studio 會自動(dòng)加載并調(diào)用與之關(guān)聯(lián)的 .suo 文件,從而觸發(fā)執(zhí)行其中惡意代碼。此次事件中,“海蓮花”首次使用了調(diào)用.suo文件的攻擊手法,惡意代碼執(zhí)行一次即會被覆蓋刪除,具有極強(qiáng)的隱蔽性。

    相關(guān)的技術(shù)概念驗(yàn)證可參考文章:
    https://github.com/cjm00n/EvilSln

    根據(jù)后續(xù)分析發(fā)現(xiàn),此次投毒攻擊事件在國內(nèi)安全行業(yè)傳播范圍比較大,國內(nèi)多家安全相關(guān)公眾號分享此被投毒項(xiàng)目,存在大量瀏覽和轉(zhuǎn)發(fā)。

    關(guān)聯(lián)分析

    當(dāng)目標(biāo)受害者使用Visual Studio打開項(xiàng)目的解決方案文件 (.sln) 進(jìn)行編譯時(shí),,Visual Studio會自動(dòng)加載并調(diào)用相關(guān)的 .suo (解決方案用戶選項(xiàng)) 文件,從而觸發(fā)其中惡意代碼執(zhí)行。并且由于 Visual Studio 在關(guān)閉時(shí)將新內(nèi)容保存到 .suo 文件,惡意代碼就會被清除,從而使整個(gè)攻擊行動(dòng)更難以被發(fā)現(xiàn)。

    通過加載VSPackage中VsToolboxService流,利用BinaryFormatter 反序列化加載執(zhí)行其中用base64編碼后的惡意代碼。
    經(jīng)過樣本分析發(fā)現(xiàn),執(zhí)行項(xiàng)目后會將惡意白加黑組件釋放到目錄:
    C:\Users\Public\TTDIndexerX64\TraceIndexer.exe

    C:\Users\Public\TTDIndexerX64\TTDReplay.dll

    并將其寫入到自啟動(dòng)注冊表:
    在Shellcode執(zhí)行方面則是使用到海蓮花組織常用dll鏤空手法,通過加載系統(tǒng)xpsservices.dll后將其鏤空,再把shellcode覆寫到該dll的內(nèi)存空間中執(zhí)行惡意功能。該程序最終利用國外筆記平臺Notion的api來實(shí)現(xiàn)c2通信,規(guī)避流量檢測和攔截,將命令嵌入到 Notion 工作區(qū)中實(shí)現(xiàn)初始的收發(fā)指令。
    在樣本層面上,根據(jù)該樣本代碼結(jié)構(gòu)、加載方式、元數(shù)據(jù)、字符串等特征可以關(guān)聯(lián)到更多相似文件,其中關(guān)聯(lián)的樣本中“tbs.dll”的父文件則是安全企業(yè)披露的海蓮花組織以魚叉郵件攻擊國內(nèi)政企行業(yè)樣本。
    微步測繪數(shù)據(jù)關(guān)聯(lián)發(fā)現(xiàn),該組織在此攻擊活動(dòng)的資產(chǎn)不僅限于單一的C2資產(chǎn),攻擊資產(chǎn)存在較為顯著的端口測繪特征,本次海蓮花組織開始活躍攻擊時(shí)間范圍大致在9月中旬到10月初,根據(jù)測繪數(shù)據(jù)以及海蓮花本批攻擊的樣本編譯時(shí)間判斷,在資產(chǎn)部署時(shí)間上基本吻合。通過相關(guān)的特征檢索,還發(fā)現(xiàn)了其他活躍的可疑線索C2地址。
    在分析同批攻擊樣本時(shí)發(fā)現(xiàn),海蓮花此次攻擊目的性較強(qiáng),部分樣本在執(zhí)行過程中會檢測受害者計(jì)算機(jī)名和目標(biāo)是否一致,來定向攻擊特定大型科技企業(yè)用戶。

    附錄-IOC

    回連Notion的page_id:

    11f5edabab708090b982d1fe423f2c0b

    相關(guān)海蓮花攻擊C2:
    190.211.254.203:4443
    45.41.204.18:8443
    45.41.204.15:443
    178.255.220.115:443
    103.91.67.74:4443
    154.93.37.106:443
    193.138.195.192:8443
    38.54.59.112:80

    關(guān)注我們

    [超站]友情鏈接:

    四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
    關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級服務(wù)市場:https://www.ijiandao.com/

    *文章為作者獨(dú)立觀點(diǎn),不代表 0XUCN 立場
    本文由 xiaoyima333 發(fā)表,轉(zhuǎn)載此文章須經(jīng)作者同意,并請附上出處(0XUCN)及本頁鏈接。
    圖庫