近日，一場(chǎng)針對(duì)中國(guó)公務(wù)員的大規(guī)模網(wǎng)絡(luò)釣魚(yú)活動(dòng)引起了國(guó)際安全專家的關(guān)注。美國(guó)威脅檢測(cè)、調(diào)查和響應(yīng)工具供應(yīng)商Securonix揭露了一個(gè)隱蔽的網(wǎng)絡(luò)攻擊行動(dòng)，攻擊者利用國(guó)內(nèi)某大型云服務(wù)作為攻擊平臺(tái)，在中國(guó)政府和企業(yè)網(wǎng)絡(luò)中長(zhǎng)期潛伏，其主要目標(biāo)是數(shù)量龐大的公務(wù)人員群體。

針對(duì)公務(wù)人員的網(wǎng)絡(luò)釣魚(yú)活動(dòng)

Securonix的研究人員Den Iuzvyk和Tim Peck在上周撰文披露了一起針對(duì)中文用戶的隱蔽活動(dòng)，攻擊者通過(guò)釣魚(yú)郵件發(fā)送Cobalt Strike有效載荷，郵件中包含壓縮的Zip文件，標(biāo)題為“20240739人員名單信息.zip”，意為“人員名單信息”。

點(diǎn)擊該文件會(huì)解壓出一個(gè)名為“違規(guī)遠(yuǎn)程控制軟件人員名單.docx.lnk”的文件鏈接，意為“違反遠(yuǎn)程控制軟件規(guī)定的人員名單”。研究者據(jù)此推測(cè)，攻擊者的目標(biāo)很可能是特定的中國(guó)政府部門(mén)公務(wù)人員。

攻擊手法分析

點(diǎn)擊該鏈接會(huì)執(zhí)行代碼，運(yùn)行嵌套目錄中的惡意DLL文件dui70.dll和UI.exe。UI.exe是合法Windows可執(zhí)行文件LicensingUI.exe的重命名版本，該文件通常用于通知用戶有關(guān)軟件許可和激活的信息。

研究人員發(fā)現(xiàn)，攻擊者利用DLL路徑遍歷漏洞，通過(guò)執(zhí)行重命名的UI.exe文件，加載同名的惡意DLL文件，從而實(shí)現(xiàn)攻擊。

一旦UI.exe運(yùn)行，惡意DLL實(shí)際上是Cobalt Strike攻擊工具包的植入物，它會(huì)注入到Windows二進(jìn)制文件“runonce.exe”中，給予攻擊者對(duì)主機(jī)的完全控制權(quán)。

攻擊者隨后會(huì)部署其他惡意軟件，包括fpr.exe、iox.exe、fscan.exe、netspy.exe、lld.exe、xxx.txt、tmp.log、sharpdecryptpwd.exe、pvefindaduser.exe和gogo_windows_amd64.exe等，這些工具用于端口轉(zhuǎn)發(fā)、網(wǎng)絡(luò)偵察、掃描網(wǎng)絡(luò)漏洞、收集憑據(jù)、枚舉Windows Active Directory用戶等。

Securonix觀察到攻擊者在受害者網(wǎng)絡(luò)中建立持久訪問(wèn)，并使用遠(yuǎn)程桌面協(xié)議進(jìn)行橫向移動(dòng)。攻擊者的目標(biāo)包括獲取Active Directory配置信息和公共IP地址。

研究人員指出，所有在此次攻擊中使用的IP地址均托管在中國(guó)某大型云服務(wù)平臺(tái)上，包括其云對(duì)象存儲(chǔ)服務(wù)。

幕后黑手：技術(shù)高明且善于潛伏的APT組織

Securonix將此次行動(dòng)命名為SLOW#TEMPEST，因?yàn)楣粽咴敢鉂摲恢芑騼芍芤詫?shí)現(xiàn)其目標(biāo)。

研究人員Iuzvyk和Peck將攻擊者描述為“高度組織化和復(fù)雜化，可能由經(jīng)驗(yàn)豐富的威脅行為者策劃，他們有使用CobaltStrike等高級(jí)利用框架和其他廣泛的后利用工具的經(jīng)驗(yàn)?！?/p>

盡管Securonix未能找到將此次攻擊與任何已知的APT組織聯(lián)系起來(lái)的有力證據(jù)，但攻擊的復(fù)雜性表明攻擊者在初始入侵、持久性、權(quán)限提升和跨網(wǎng)絡(luò)橫向移動(dòng)方面擁有豐富經(jīng)驗(yàn)和成熟技術(shù)手段。

總結(jié)

隨著生成式AI技術(shù)在網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程領(lǐng)域的快速普及，大規(guī)模針對(duì)性跨國(guó)網(wǎng)絡(luò)釣魚(yú)活動(dòng)威脅正快速增長(zhǎng)。此次針對(duì)中國(guó)公務(wù)員的網(wǎng)絡(luò)釣魚(yú)活動(dòng)再次提醒我們，網(wǎng)絡(luò)安全威脅無(wú)處不在，政府部門(mén)和企業(yè)必須加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，提高對(duì)釣魚(yú)郵件和惡意軟件的警惕，以保護(hù)敏感信息和網(wǎng)絡(luò)安全。

同時(shí)，此次美國(guó)網(wǎng)絡(luò)安全公司披露針對(duì)中國(guó)用戶的網(wǎng)絡(luò)攻擊也表明，在地緣政治因素的干擾和操縱下，網(wǎng)絡(luò)安全研究依然是一個(gè)全球性活動(dòng)，需要國(guó)際社會(huì)的共同努力和合作。