最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

美国政府:黑客使用新的恶意软件从美国国防组织窃取数据

网络安全 快米云 来源:快米云 71浏览

国家黑客使用定制的 CovalentStealer 恶意软件从美国国防组织窃取

美国政府今天发布了一项警报,称国家支持的黑客使用定制的“CovalentStealer”恶意软件和 Impacket 框架从国防工业基地 (DIB) 部门的美国组织窃取敏感数据。

入侵持续了大约十个月,很可能多个高级持续威胁 (APT) 组可能会破坏该组织,其中一些组织在去年 1 月通过受害者的 Microsoft Exchange Server 获得了初始访问权限。

国防工业基础部门的实体提供能够支持和部署军事行动的产品和服务。

他们从事军用武器系统的研究、开发、设计、生产、交付和维护,包括所有必要的零部件。

ProxyLogon、RAT 和自定义恶意软件

网络安全和基础设施局 (CISA)、联邦调查局 (FBI) 和国家安全局 (NSA) 的联合报告提供了在 2021 年 11 月至 2022 年 1 月期间的事件响应活动期间收集的技术细节。

黑客将名为 CovalentStealer 的自定义恶意软件、Python 类的开源 Impacket 集合、HyperBro 远程访问木马 (RAT) 以及十几个 ChinaChopper webshel​​l 样本结合在一起。

 在 Microsoft 发布紧急安全更新以修复它们时,他们还利用了 Exchange Server 的四个漏洞的 ProxyLogon 集合。

当时,微软在漏洞为零日(供应商未知)时检测到了 ProxyLogon 漏洞利用链,攻击归因于中国政府资助的黑客组织 Hafnium。

  • CVE-2021-26855 是 Exchange 中的服务器端请求伪造 (SSRF) 漏洞,允许发送任意 HTTP 请求并作为 Exchange 服务器进行身份验证
  • CVE-2021-26857 是统一消息服务中的一个不安全的反序列化漏洞。Hafnium 使用它在 Exchange 服务器上以 SYSTEM 身份运行代码
  • CVE-2021-26858 是 Exchange 中的身份验证后任意文件写入漏洞。它可以在破坏合法管理员的凭据后被利用。
  • CVE-2021-27065 是Exchange中的一个后认证任意文件写入漏洞

虽然最初的访问途径未知,但当前的公告指出,黑客在 2022 年 1 月中旬获得了对该组织 Exchange Server 的访问权限。

在四小时内,攻击者开始搜索邮箱,并使用属于一名前员工的被盗管理员帐户访问 Exchange Web 服务 (EWS) API,该 API 用于发送和接收来自客户端应用程序的 Web 服务消息。

不到一个月后,也就是 2021 年 2 月上旬,攻击者通过虚拟专用网络 (VPN) 连接使用相同的管理员凭据再次访问了该网络。

四天后,黑客使用命令 shell 进行了侦察活动。他们了解了受害者的环境并手动归档 (WinRAR) 敏感数据,例如存储在共享驱动器上的与合同相关的信息,为泄露做好准备。

“这些文件被分成大约 3MB 的块,位于 Microsoft Exchange 服务器上的 CU2\he\debug 目录中”——  来自 CISA、FBI 和 NSA 的联合报告

3月初,黑客利用ProxyLogon漏洞在Exchange Server上安装了不少于17个China Chopper webshel​​l。

China Chopper 在非常小的封装(仅 4 KB)中具有强大的功能。它最初由中国威胁行为者使用,但它变得如此受欢迎,以至于其他团体也采用了它。

在网络上建立持久性并横向移动的活动于 2021 年 4 月开始,可能是 Impacket,它允许使用网络协议。

CISA 表示,攻击者使用带有受损凭据的 Impacket 来获取具有更高权限的服务帐户,这使得通过 Outlook Web Access (OWA) 从多个外部 IP 地址远程访问组织的 Exchange 服务器成为可能。

访问远程 Exchange Server 是通过两个 VPN 和虚拟专用服务器提供商 M247 和 SurfShark 的服务完成的,这是一种隐藏与受害者网络交互的常用策略。

黑客深入受害者网络,依靠定制的 CovalentStealer 在 2022 年 7 月下旬至 2022 年 10 月中旬期间将其他敏感文件上传到 Microsoft OneDrive 位置。

在另一份报告中,CISA 为 CovalentStealer 提供了技术分析, 指出该恶意软件依赖来自两个公开可用的实用程序 ClientUploader 和 PowerShell 脚本 Export-MFT 的代码来上传压缩文件并提取本地主机的主文件表 (MFT)存储量。

CovalentStealer 还包含用于加密和解密上传的数据和配置文件以及保护通信的资源。

CovalentStealer AES 加密例程
CovalentStealer AES 加密例程

CISA 在一份不同的报告中分享了 HyperBro RAT的技术细节,称该恶意软件的功能包括向系统上传和下载文件、记录击键、在受感染主机上执行命令以及绕过用户帐户控制保护以完全运行管理员权限。

美国政府目前没有提供有关威胁行为者来源的指示,但指出“CISA 发现可能有多个 APT 组织破坏了该组织的网络。”

联合报告中提供了一组建议,用于检测持续的、长期的访问威胁活动,其中之一是监控来自异常 VPS 和 VPN 的连接日志。

防御者还应该检查来自意外范围的连接,对于这个特定的攻击者,检查由 SurfShark 和 M247 托管的机器。

监控可疑帐户的使用,例如对管理员帐户、服务帐户或第三方帐户的不当或未经授权的使用,也在列表中。

通过 VPS 使用受损凭证也可能表明潜在的违规行为,可以通过以下方式发现:

  • 查看“不可能登录”的日志,例如更改用户名、用户代理字符串和 IP 地址组合的登录,或 IP 地址与预期用户地理位置不一致的登录
  • 搜索“不可能的旅行”,当用户从相距很远的多个 IP 地址登录时会发生这种情况。当合法用户通过 VPN 连接时,可能会导致误报
  • 搜索跨多个帐户使用的一个 IP,不包括预期登录(从 M247 和 SurfShark IP 成功远程登录可能是一个危险信号)
  • 在重置密码或应用用户帐户缓解措施后识别可疑的特权帐户使用
  • 在通常处于休眠状态的帐户中搜索异常活动
  • 搜索不寻常的用户代理字符串,例如通常与正常用户活动不相关的字符串,这可能表明机器人活动

CISA、FBI 和 NSA的联合 报告 分享了一组 YARA 规则,这些规则旨在检测来自该特定威胁参与者的活动以及攻击中使用的工具的危害指标:  CovalentStealer、  HyperBro和 China Chopper

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 美国政府:黑客使用新的恶意软件从美国国防组织窃取数据