“幸运老鼠” 还能幸运多久?这次他们盯上了政府机构

“幸运老鼠” 还能幸运多久?这次他们盯上了政府机构

卡巴斯基实验室发现APT27组织Lucky Mouse攻击中亚某国国家数据中心,其目标是对该国政府网站注入恶意代码开展水坑攻击。

卡巴斯基的安全专家对Lucky Mouse APT组织(又称Emissary Panda, APT 27 或 Threat Group 3390)进行了观察,这种威胁攻击在最近的活动中使用了数字签名32位和64位网络过滤驱动程序NDISProxy。

该组织至少自2010年以来一直活跃,他们的攻击目标是全球的美国国防承包商和金融服务公司。在2018年3月,卡巴斯基实验室的安全专家曾观察到了由中国APT组织发动的攻击,中亚某国的国家数据中心遭到了攻击。据专家们推测,该攻击是在2017年秋季启动的。

幕后推手——LuckyMouse

跟据使用的工具HyperBro特洛伊木马——其最后一个阶段驻留在内存的远程管理工具(RAT),卡巴斯基将该行动归因于LuckyMouse。此外,C2域名update.iaacstudio [.] com在该组织之前的攻击行动中使用过,本次行动中发现的工具,例如HyperBro Trojan,是中国的攻击者经常使用的工具。关于Metasploit的shikata_ga_nai编码器,尽管适用于所有人,不能作为归因的依据,但LuckyMouse以前确实曾使用过这种编码器。

卡巴斯基称,黑客们正在谋划一次水坑式攻击,试图将恶意JavaScript代码注入连接到数据中心的政府网站。

“幸运老鼠” 还能幸运多久?这次他们盯上了政府机构

遭到入侵的政府网页上的脚本

在过去几个月中,该组织使用网络过滤驱动程序NDISProxy将此前未知的特洛伊木马植入到lsass.exe系统进程内存。

卡巴斯基报告说,该驱动程序是使用中国公司LeagSoft的数字证书签署的,专家们随即通知了该公司。

“自2018年3月以来,我们发现了一些感染,其中一个此前未知的特洛伊木马被植入到lsass.exe系统进程内存中。这些木马是借由数字签名的32位和64位网络过滤驱动程序NDISProxy进行植入的,”卡巴斯基发布的分析报告中指出,“有趣的是,这个驱动程序是使用中国公司LeagSoft的数字证书签署的,而LeagSoft是一家位于广东深圳的信息安全软件开发商。我们通过CN-CERT向公司通报了这个问题。”

卡巴斯基在中亚高层会议召开之前分析了针对中亚政府团体的网络间谍活动,他们发现攻击者对地区政治议程表现出了特别的兴趣。

恶意软件由三个模块

包括以下三个模块:

自定义C ++安装程序,它解密相应系统目录中的驱动程序文件,随后将其删除,然后创建一个Windows自动运行服务以获取驱动程序持久性,并将加密的内存特洛伊木马添加到系统注册表中;

网络过滤驱动程序(NDISProxy),用于解密特洛伊木马并将其植入内存,接着过滤端口3389(远程桌面协议,RDP)通信,以便将特洛伊木马的C2通信插入其中,并过滤端口3389(远程桌面协议,RDP)流量,以便将特洛伊木马的C2通信插入其中;

最后的有效负载是用C ++编写的,它是一个充当HTTPS服务器的特洛伊木马,与驱动程序一起工作。它被动地等待其C2通信——通过端口3389和443的两个可能的通信信道。

这些模块允许威胁的横向移动,但如果新的受感染主机仅具有LAN IP,则不允许它们与外部C2基础结构通信。攻击者利用内网穿透工具Earthworm的SOCKS隧道将受感染主机的LAN连接到外部C2。这些模块还使用Scanline网络扫描程序来查找文件共享(端口135,服务器消息块,SMB),用于传播带有管理密码的恶意软件,并与键盘记录程序相关联。

“幸运老鼠” 还能幸运多久?这次他们盯上了政府机构

该恶意软件通过已经被破坏的网络,而不是常用的鱼叉式网络钓鱼信息进行传播的。具体取决于攻击目标,32位和64位两种驱动程序可供选择,并跟踪所有安装过程。

网络过滤驱动程序NDISProxy向受损系统中植入可以执行常见任务的RAT,包括运行命令和下载/上传文件。攻击者使用该特洛伊木马从受感染的主机获取数据,进行横向移动,并通过SOCKS隧道建立与C&C的连接。

卡巴斯基最后总结说:“这次威胁活动似乎再次表明了LuckyMouse对中亚以及上海合作组织相关政治议程的兴趣。”

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/113482.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code