到 2023 年底,一个未知的威胁行为者使用 2017 年的旧 Microsoft Office 远程代码执行 (RCE) 漏洞攻击乌克兰政府实体(CVE-2017-8570)作为初始向量,军用车辆作为诱饵。
威胁行为者使用恶意 PowerPoint 文件 (.PPSX) 发起攻击,该文件通过安全消息平台 Signal 上的消息作为附件发送。该文件伪装成美国陆军坦克扫雷刀片的旧说明书,实际上与受 Cloudflare 保护的俄罗斯虚拟专用服务器 (VPS) 提供商域上托管的外部脚本存在远程关系。
根据一份报告,该脚本执行了 CVE-2017-8570 漏洞以实现 RCE 深层本能博客文章 本周的攻击旨在窃取信息。
棘手网络攻击的幕后黑手
就技术细节而言,混淆的脚本伪装成 Cisco AnyConnect APN 配置,负责设置持久性、解码并将嵌入的有效负载保存到磁盘,这分几个阶段发生以逃避检测。
有效负载包括一个名为“vpn.sessings”的加载器/加壳器动态链接库(DLL),它将 Cobalt Strike Beacon 加载到内存中并等待来自攻击者的命令和控制(C2)服务器的指令。
Deep Instinct 威胁实验室团队负责人 Mark Vaitzman 指出,渗透测试工具 Cobalt Strike 在威胁行为者中非常常用,但这个特定的信标使用了自定义加载程序,该加载程序依赖于多种会减慢分析速度的技术。
他说:“它会不断更新,以便为攻击者提供一种在初始足迹确定后进行横向移动的简单方法。” “[并且]它是通过多种反分析和独特的规避技术实现的。”
Vaitzman 指出,2022 年,Cobalt Strike 中发现了允许 RCE 的严重 CVE,许多研究人员预测威胁行为者将改变该工具以创建开源替代品。
“在地下黑客论坛上可以找到几个破解版本,”他说。
他说,除了 Cobalt Strike 的调整版本之外,该活动还因威胁行为者不断尝试将其文件和活动伪装成合法的常规操作系统和常见应用程序操作而引人注目,以保持隐藏并保持控制尽可能长时间地控制受感染的机器。他说,在这次活动中,攻击者利用了这个 “靠土地谋生”战略 更进一步。
“这次攻击活动展示了几种伪装技术和一种尚未被记录的聪明的持久方式,”他解释道,但没有透露细节。
网络威胁组织的品牌和型号未知
乌克兰已成为目标 在与俄罗斯的战争期间,多次受到多个威胁行为者的攻击, 沙虫集团 作为攻击者的主要网络攻击单位。
但与战争期间的大多数攻击活动不同,威胁实验室团队无法将这项工作与任何已知威胁组织联系起来,这可能表明这是一个新组织的工作或代表已知威胁的完全升级的工具集演员。
Qualys威胁研究部安全研究经理Mayuresh Dani指出,利用不同地理位置的来源来帮助威胁行为者消除归因,也让安全团队难以根据地理位置提供针对性的保护。
“样本是从乌克兰上传的,第二阶段由俄罗斯 VPS 提供商托管和注册,钴信标 [C2] 在波兰华沙注册,”他解释道。
他说,他发现攻击链中最有趣的是最初的妥协是通过安全的 Signal 应用程序完成的。
“ 信号信使主要由专注于安全的人员使用 或者那些参与分享秘密信息的人,例如记者,”他指出。
通过安全意识和补丁管理增强网络装甲
Vaitzman 表示,由于大多数网络攻击都是通过电子邮件或消息进行网络钓鱼或链接诱骗开始的,因此更广泛的员工网络意识在减轻此类攻击企图方面发挥着重要作用。
对于安全团队来说,“我们还建议扫描网络中提供的 IoC,并确保 Office 已修补到最新版本,”Vaitzman 说。
Critical Start 网络威胁研究高级经理 Callie Guenther 表示,从防御角度来看,对旧漏洞的依赖也强调了强大的补丁管理系统的重要性。
“此外,攻击的复杂性强调了对先进检测机制的需求,这些机制超越了 基于签名的网络防御方法,”她说,“结合行为和异常检测来识别经过修改的恶意软件。”
- :具有
- :是
- :不是
- $UP
- 2017
- 2022
- 2023
- 7
- a
- 关于
- 完成
- 根据
- 活动
- 演员
- 另外
- 高级
- 还
- 改变
- 替代品
- 其中
- an
- 分析
- 锚
- 和
- 异常检测
- 任何
- 应用
- 应用领域
- 保健
- 军队
- AS
- At
- 攻击
- 攻击者
- 尝试
- 尝试
- 意识
- 基于
- BE
- 烽火
- 因为
- 牛肉
- 很
- 行为
- 超越
- 博客
- 更广泛
- 但是
- by
- 营销活动
- 活动
- CAN
- 链
- 思科
- CloudFlare的
- 钴
- 码
- 相当常见
- 常用
- 妥协
- 一直
- 控制
- 皴
- 创建信息图
- 危急
- 习俗
- CVE
- 网络
- 网络攻击
- 网络攻击
- 解码
- 深
- 国防
- 详情
- 检测
- 难
- 不同
- 域
- 向下
- ,我们将参加
- 动态
- 努力
- 电子邮件
- 嵌入式
- 员工
- 结束
- 实体
- 逃脱
- 逃税
- 执行
- 执行
- 介绍
- 利用
- 功勋
- 外部
- 事实
- 文件
- 档
- Footprint
- 针对
- 论坛
- 发现
- 止
- 充分
- 进一步
- 地域
- 地理
- Go
- 政府
- 政府实体
- 团队
- 黑客
- 民政事务总署
- he
- 帮助
- 兜帽
- 托管
- HTTPS
- 鉴定
- 实施
- 重要性
- 重要
- in
- 包括
- 结合
- 表明
- 感染
- 信息
- 初始
- 启动
- 说明
- 有趣
- 成
- 参与
- IT
- 它的
- 记者
- JPG
- 已知
- 实验室
- 土地
- 在很大程度上
- 最新
- 领导者
- 合法
- 自学资料库
- 友情链接
- 活的
- 装载机
- 负载
- 地点
- 长
- 机
- 保持
- 使
- 制作
- 制作
- 恶意
- 颠覆性技术
- 经理
- 手册
- 许多
- 假面舞会
- 可能..
- 机制
- 内存
- 的话
- 条未读消息
- 消息
- 信使
- 微软
- 军工
- 缓解
- 模型
- 改性
- 最先进的
- 移动
- 多
- 需求
- 网络
- 全新
- NIST
- 显着
- 场合
- of
- 折扣
- 办公
- 老
- 老年人
- on
- 一旦
- 打开
- 开放源码
- 运营
- or
- OS
- 输出
- 特别
- 打补丁
- 渗透
- 坚持
- 人员
- 透视
- 钓鱼
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 扮演
- 点
- 波兰
- 可能
- 都曾预测
- 小学
- 私立
- 保护
- 保护
- 提供
- 提供
- 提供者
- 建议
- 在相关机构注册的
- 关系
- 信赖
- 依赖
- 留
- 远程
- 代表
- 研究
- 研究人员
- 提供品牌战略规划
- 健壮
- 角色
- 俄罗斯
- 俄语
- s
- 样品
- 保存
- 说
- 扫描
- 脚本
- 其次
- 安全
- 保安
- 安全意识
- 前辈
- 发送
- 服务器
- 服务
- 集
- 设置
- 几个
- 严重
- 共享
- 她
- 作品
- 信号
- 简易
- 放慢
- 智能
- 软件
- 极致
- 来源
- 来源
- 阶段
- 实习
- 开始
- 偷
- 罢工
- 这样
- 肯定
- 产品
- 坦克
- 坦克
- 针对
- 团队
- 队
- 文案
- 技术
- 条款
- 测试
- 这
- 其
- Free Introduction
- 本星期
- 那些
- 威胁
- 威胁者
- 通过
- 至
- 了
- 工具
- 对于
- 乌克兰
- 下
- 地下
- 下
- 下划线
- 独特
- 单元
- 不明
- 不像
- 更新
- 升级
- 上传
- us
- 我们的军队
- 使用
- 用过的
- 运用
- 车辆
- 版本
- 版本
- 通过
- 在线会议
- VPN
- 战争
- 华沙
- 是
- 方法..
- we
- 周
- 井
- 什么是
- 这
- WHO
- 也完全不需要
- 工作
- 将
- 但
- 和风网