研究人员警告说,作为可追溯到 XNUMX 月的范围广泛的间谍活动的一部分,国家资助的名为 Billbug 的网络攻击组织设法破坏了数字证书颁发机构 (CA),这是高级持续威胁 (APT) 剧本的一个令人担忧的发展。
数字证书是用于将软件签名为有效的文件,并验证设备或用户的身份以启用加密连接。 因此,CA 妥协可能会导致大量隐蔽的后续攻击。
“证书颁发机构的目标是值得注意的,就好像攻击者能够成功地破坏它以访问证书一样,他们可能会使用它们来使用有效证书签署恶意软件,并帮助它避免在受害机器上被发现,”根据 报告 本周来自赛门铁克。 “它还可能使用受损的证书来拦截 HTTPS 流量。”
“这可能非常危险,”研究人员指出。
持续不断的网络妥协
Billbug(又名 Lotus Blossom 或 Thrip)是一个总部设在中国的间谍组织,主要针对东南亚的受害者。 它以狩猎大型猎物而闻名——即追查军事组织、政府实体和通信提供商掌握的秘密。 有时它会撒下一张更大的网,暗示更阴暗的动机:在过去的一个例子中,它渗透到一家航空航天运营商中,以感染监测和控制卫星运动的计算机。
在最新一轮的恶意活动中,APT 袭击了整个亚洲的政府和国防机构,在一个案例中,政府网络上的“大量机器”感染了其定制的恶意软件。
赛门铁克威胁猎手团队高级情报分析师 Brigid O Gorman 表示:“该活动至少从 2022 年 2022 月持续到 XNUMX 年 XNUMX 月,而且该活动可能会持续进行。” “Billbug 是一个历史悠久的威胁组织,多年来开展了多次活动。 这项活动有可能扩展到其他组织或地区,尽管赛门铁克目前没有这方面的证据。”
一种熟悉的网络攻击方法
在这些目标以及 CA 中,初始访问向量一直是利用易受攻击的面向公众的应用程序。 在获得执行代码的能力后,威胁行为者会继续安装他们已知的自定义 Hannotog 或 Sagerunex 后门,然后再深入网络。
对于后面的杀伤链阶段,Billbug 攻击者使用多个 陆地生活二进制文件(LoLBins),如 AdFind、Certutil、NBTscan、Ping、Port Scanner、Route、Tracert、Winmail 和 WinRAR,根据赛门铁克的报告。
这些合法工具可能会被滥用于各种混杂用途,例如查询 Active Directory 以映射网络、压缩文件以进行渗漏、发现端点之间的路径、扫描 NetBIOS 和端口以及安装浏览器根证书——更不用说下载其他恶意软件了.
自定义后门与两用工具相结合是一个熟悉的足迹,APT 过去曾使用过。 但缺乏对公众曝光的担忧是 团体课程的标准杆.
“值得注意的是,Billbug 似乎没有被将此活动归因于它的可能性所吓倒,它重复使用了过去与该组织相关的工具,”戈尔曼说。
她补充说,“该组织大量使用陆上生活和两用工具也很值得注意,并强调组织需要部署安全产品,这些产品不仅可以检测恶意软件,还可以 还可以识别是否有可能使用合法工具 以可疑或恶意的方式。”
赛门铁克已通知未具名的 CA 告知其有关活动,但 Gorman 拒绝提供有关其响应或补救措施的更多详细信息。
虽然到目前为止还没有迹象表明该组织能够继续破坏实际的数字证书,但研究人员建议,“企业应该意识到,如果威胁行为者能够访问证书颁发机构,则恶意软件可以使用有效证书进行签名。”
她说,一般来说,组织应该采用纵深防御策略,使用多种检测、保护和强化技术来降低潜在攻击链每个点的风险。
“赛门铁克还建议对管理帐户的使用进行适当的审计和控制,”戈尔曼指出。 “我们还建议为管理工具创建使用配置文件,因为攻击者使用其中许多工具在网络中横向移动而不被发现。 总体而言,多因素身份验证 (MFA) 可以帮助限制受损凭据的用途。”
