抹黑中国! 中国有黑客吗?
被追踪为 Billbug(又名 Thrip、Lotus Blossom、Spring Dragon)的网络间谍威胁参与者一直在针对亚洲多个国家的证书颁发机构、政府机构和国防组织开展活动。
最近的攻击至少从 3 月就开始观察到,但该攻击者已经秘密行动了十多年,据信它是一个为中国工作的国家支持的组织。
在过去六年中,多家网络安全公司记录了其
头条新闻READ MOREResearchers release exploit details forBackstage pre-auth RCE bug
赛门铁克的安全研究人员在今天的一份报告中表示,他们自 2018 年以来一直在跟踪的 Billbug 还瞄准了一家证书颁发机构公司,这将使他们能够部署已签名的恶意软件,从而更难检测或解密 HTTPS 流量。
新活动,旧工具
赛门铁克尚未确定 Billbug 如何获得对目标网络的初始访问权限,但他们已经通过利用具有已知漏洞的面向公众的应用程序看到了这种情况发生的证据。
与之前归因于 Billbug 的活动一样,攻击者结合了目标系统上已有的工具、公开可用的实用程序和自定义恶意软件。其中包括:
- 广告查找
- 邮件
- WinRAR
- 平
- 跟踪器
- 路线
- NBT扫描
- Certutil
- 端口扫描仪
这些工具帮助黑客融入无害的日常活动,避免可疑的日志痕迹或在安全工具上发出警报,并且通常使归因工作更加困难。
在最近的 Billbug 行动中看到的一个很少部署的开源工具是Stowaway,这是一个基于 Go 的多级代理工具,可以帮助渗透测试者绕过网络访问限制。
赛门铁克能够将最近的攻击归咎于 Billbug,因为威胁行为者使用了在他们之前的一些操作中看到的两个自定义后门:Hannotog 和 Sagerunex。
Hannotog 后门的一些功能包括更改防火墙设置以启用所有流量、在受感染机器上建立持久性、上传加密数据、运行 CMD 命令以及将文件下载到设备。
Sagerunex 由 Hannotog 投放,并将自身注入到“explorer.exe”进程中。然后它将日志写入使用 AES 算法(256 位)加密的本地临时文件。
后门的配置和状态也存储在本地并使用 RC4 加密,两者的密钥都被硬编码到恶意软件中。
Sagerunex 通过 HTTPS 连接到命令和命令服务器以发送活动代理和文件列表,并从操作员处接收有效负载和 shell 命令。此外,它可以使用“runexe”和“rundll”执行程序和 DLL。
Billbug 在过去几年中继续使用相同的自定义后门,变化很小。
