一个以前不为人知的中国 APT(高级持续威胁)黑客组织被称为“地球龙之”,目标是东亚、东南亚和乌克兰的组织。
威胁行为者至少从 2020 年开始就一直活跃,他们使用定制版本的 Cobalt Strike 加载程序在受害者系统上植入持久性后门。
根据趋势科技的一份新报告,Earth Longzhi 具有与“ Earth Baku ”相似的 TTP(技术、策略和程序),两者都被认为是被追踪为 APT41 的国家支持的黑客组织的子组。

地球龙志的旧战役
趋势科技的报告展示了 Earth Longzhi 进行的两次活动,第一次发生在 2020 年 5 月至 2021 年 2 月之间。
在此期间,黑客攻击了台湾的几家基础设施公司、中国的一家银行和台湾的一个政府机构。

在这次活动中,黑客使用了定制的 Cobalt Strike 装载机“Symatic”,该装载机具有复杂的反检测系统,包括以下功能:
- 从“ntdll.dll”中移除 API 挂钩,获取原始文件内容,并将内存中的 ntdll 映像替换为不受安全工具监控的副本。
- 为进程注入生成一个新进程并伪装父进程以混淆链。
- 将解密的有效负载注入新创建的进程。
对于其主要操作,Earth Longzhi 使用了一种一体化的黑客工具,将各种公开可用的工具组合在一个包中。
该工具可以打开 Socks5 代理、在 MS SQL 服务器上执行密码扫描、禁用 Windows 文件保护、修改文件时间戳、扫描端口、启动新进程、执行 RID 欺骗、枚举驱动器以及使用“SQLExecDirect”执行命令。
2022 年活动
趋势科技观察到的第二次活动从 2021 年 8 月持续到 2022 年 6 月,针对菲律宾的保险和城市发展公司以及泰国和台湾的航空公司。

在最近的这些攻击中,Earth Longzhi 部署了一组新的自定义 Cobalt Strike 加载程序,这些加载程序使用不同的解密算法和附加特性来提高性能(多线程)和有效性(诱饵文档)。

将 Cobalt Strike 有效负载注入到在内存中运行的新创建的进程中与在 Symatic 中相同,从不接触磁盘以避免冒检测风险。news.zzqidc.com
BigpipeLoader 的一个变体遵循非常不同的有效负载加载链,在合法应用程序 (wusa.exe) 上使用 DLL 旁加载 (WTSAPI32.dll) 来运行加载程序 (chrome.inf) 并将 Cobalt Strike 注入内存。

在目标上运行 Cobalt Strike 后,黑客使用自定义版本的 Mimikatz 窃取凭据并使用“PrintNighmare”和“PrintSpoofer”漏洞来提升权限。
为了禁用主机上的安全产品,Earth Longzhi 使用名为“ProcBurner”的工具,该工具滥用易受攻击的驱动程序 (RTCore64.sys) 来修改所需的内核对象。
“ProcBurner 旨在终止特定的运行进程,” 趋势科技在报告中解释道。
“简单地说,它试图通过使用易受攻击的 RTCore64.sys 强行修补内核空间中的访问权限来改变对目标进程的保护。”

值得注意的是, BlackByte 勒索软件在自带易受攻击的驱动器 (BYOVD) 攻击中也使用了相同的 MSI Afterburner 驱动程序 ,滥用它来绕过一千多个安全保护。
ProcBurner 首先检测操作系统,因为内核修补过程会根据版本而变化。该工具支持以下版本:
- 视窗 7 SP1
- 视窗服务器 2008 R2 SP1
- 视窗 8.1
- 视窗服务器 2012 R2
- 视窗 10 1607、1809、20H2、21H1
- 视窗服务器 2018 1809
- Windows 11 21H2、22449、22523、22557
第二个保护否定工具“AVBurner”也滥用易受攻击的驱动程序通过删除其内核回调例程来注销安全产品。

商品+定制
APT 组织越来越依赖商品恶意软件和 Cobalt Strike 等攻击框架来掩盖他们的踪迹并使归因变得困难。
然而,老练的黑客仍然开发和使用定制工具来隐蔽加载有效载荷和绕过安全软件。
通过采取这些策略,地球龙之已经设法保持至少 2.5 年未被发现,而随着趋势科技的曝光,他们很可能会转向新的策略。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的黑客组织使用定制的“Symatic”Cobalt Strike 装载机