至少自 2020 年以来,位于东亚和东南亚以及乌克兰的实体已成为 APT41 的一个先前未记录的目标, APT41是一个多产的高级持续威胁组织。
络安全公司趋势科技(Trend Micro)将间谍团队命名为Earth Longzhi ,该公司表示,根据部署用于攻击受害者的工具集,该团伙的长期活动可以分为两部分。
从 2020 年 5 月到 2021 年 2 月的第一波攻击针对东亚敏感地区基础设施和医疗保健行业及银行业,从 2021 年 8 月到 2022 年 6 月的一系列入侵渗透到乌克兰和亚洲几个敏感地区。
趋势科技补充说,目标领域与APT41(又名 Winnti)的一个独特姊妹组织Earth Baku发起的攻击重叠。
Earth Baku 的一些恶意 络活动与其他 络安全公司 ESET 和赛门铁克分别以 SparklingGoblin 和 Grayfly 名义发起的组织有关。
Earth Longzhi 在 APT41 攻击难题中添加了另一部分,该团伙还分享了指向名为GroupCC的第三个子组(又名 APT17、Aurora Panda 或 Bronze Keystone)的链接。
黑客组织精心策划的攻击利用鱼叉式 络钓鱼电子邮件作为初始入口向量。钓鱼邮件会嵌入受密码保护的档案或指向托管在 Google Drive 上的文件的链接,这些文件在打开时会启动一个名为 CroxLoader 的 Cobalt Strike 加载程序。
在某些情况下,观察到该组织将公开暴露的应用程序中的远程代码执行缺陷作为武器,以提供一个 Webshell,该 shell 能够删除被称为 Symatic 的下一阶段加载程序,该加载程序旨在部署 Cobalt Strike。
作为其开发后活动的一部分,还投入使用的是“多合一工具”,它将几个公开可用的和自定义功能组合在一个包中,据信自 2014 年 9 月以来就可以使用。
由 Earth Longzhi 发起的第二系列攻击遵循类似的模式,主要区别在于使用不同的 Cobalt Strike 加载程序,名为 CroxLoader、BigpipeLoader 和 OutLoader 来删除受感染主机上的红队框架。
最近的攻击进一步突出了使用定制工具的情况,这些工具可以禁用安全软件,使用修改版的 Mimikatz 转储凭据,并利用 Windows Print Spooler 组件(即PrintNightmare)中的缺陷来提升权限。
更重要的是,通过一种称为自带易受攻击的驱动程序 (BYOVD) 的方法使已安装的安全解决方案失效,该方法需要利用 RTCore64.sys 驱动程序中的一个已知缺陷 ( CVE-2019-16098 )。
这是使用 ProcBurner 执行的,这是一种用于杀死特定正在运行的进程的工具,而另一个名为 AVBurner 的自定义恶意软件用于通过删除进程创建回调来取消注册端点检测和响应 (EDR) 系统 -安全研究人员详细介绍了该机制2020 年 8 月化名为 brsn。
值得注意的是,过时版本的 RTCore64.sys 驱动程序仍然具有有效的数字签名,在过去几个月中已被BlackByte和OldGremlin等多个攻击者组织使用。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!