最后更新于2024年5月28日星期二21:20:45 GMT
由Rapid7分析师Tyler McGraw, Thomas Elkins和Evan McCann共同撰写
执行概要
Rapid7已经确定了一个正在进行的社会工程活动,该活动一直针对多个管理检测和响应(耐多药)客户. 该事件涉及威胁行为者用垃圾邮件淹没用户的电子邮件并打电话给用户, 提供帮助. 攻击者会提示受影响的用户下载远程监控和管理软件,比如AnyDesk,或者利用微软内置的Quick Assist功能来建立远程连接. 一旦建立了远程连接, 威胁参与者开始从其基础设施下载有效载荷,以便获取受影响的用户凭据并维护受影响用户资产的持久性.
在一次事件中, Rapid7观察到威胁行为者将Cobalt Strike信标部署到受损网络中的其他资产上. 虽然在任何情况下,Rapid7都没有发现勒索软件的部署, 根据OSINT和Rapid7处理的其他事件响应业务,我们观察到的泄露指标之前与Black Basta勒索软件运营商有关.
概述
自2024年4月下旬以来,Rapid7发现了多个新型社会工程活动的案例. 攻击开始时,目标环境中的一组用户会收到大量垃圾邮件. 在所有观察到的案例中, 垃圾邮件严重到足以压倒现有的电子邮件保护解决方案,并到达用户的收件箱. Rapid7确定许多电子邮件本身并不是恶意的, 而是由来自世界各地众多合法组织的时事通讯注册确认电子邮件组成.
随着邮件的发送, 受影响的用户难以处理大量的垃圾邮件, 然后,威胁行为者开始循环打电话给受影响的用户,假装成他们组织的IT团队成员,向他们提供电子邮件问题的支持. 对每个用户来说, 威胁行为者试图通过使用合法的远程监控和管理解决方案,对用户进行社会工程,以提供对其计算机的远程访问. 在所有观察到的案例中, Rapid7确定,通过下载和执行经常被滥用的RMM解决方案AnyDesk,可以促进初始访问, 或内置的Windows远程支持实用程序Quick Assist.
如果威胁参与者的社会工程尝试未能成功地让用户提供远程访问, Rapid7观察到,他们立即转向了另一个被他们的大量垃圾邮件盯上的用户.
一旦威胁行为者成功获得对用户计算机的访问权限, 他们开始执行一系列批处理脚本, 作为更新呈现给用户, 很可能是为了显得更合法,避免被怀疑. 威胁参与者执行的第一个批处理脚本通常会验证其与命令和控制(C2)服务器的连接,然后下载包含OpenSSH for Windows(最终重命名为***RuntimeBroker)的合法副本的邮政编码归档文件.exe * * *), 以及它的依赖性, 几个RSA密钥, 和其他SSH配置文件. SSH是一种用于通过互联网安全地向远程计算机发送命令的协议. 而在许多批处理脚本中都有硬编码的C2服务器, 有些是这样写的,因此可以在命令行上指定C2服务器和侦听端口作为覆盖.
然后是脚本 通过运行键项建立持久性 在Windows注册表中. 批处理脚本创建的运行键指向在运行时创建的其他批处理脚本. 运行密钥指向的每个批处理脚本在无限循环中通过PowerShell执行SSH,以尝试使用下载的RSA私钥建立到指定C2服务器的反向shell连接. Rapid7观察到威胁参与者使用的批处理脚本的几种不同变体, 其中一些还使用其他远程监控和管理解决方案有条件地建立持久性, 包括NetSupport和ScreenConnect.
在所有观察到的案例中, Rapid7已经确定使用批处理脚本从命令行使用PowerShell获取受害者的凭据. 凭据是在要求用户登录的“更新”的错误上下文中收集的. 在大多数观察到的批处理脚本变化中, 凭据立即通过安全复制命令(SCP)泄露到威胁参与者的服务器。. 在至少一个其他观察到的脚本变体中, 凭据保存到存档中,必须手动检索.
在一个观察到的案例中, 一旦初步妥协完成, 然后,攻击者试图使用Impacket通过SMB在整个环境中横向移动, 尽管多次尝试,但最终未能部署“钴罢工”. 虽然在我们的调查中,Rapid7没有发现成功的数据泄露或勒索软件部署, Rapid7通过取证分析发现的入侵指标与基于内部和开源情报的Black Basta勒索软件组织一致.
法医分析
在一次事件中, Rapid7观察到威胁行为者试图部署额外的远程监控和管理工具,包括ScreenConnect和NetSupport远程访问木马(RAT)。. Rapid7收购了Client32.ini文件, 它持有NetSupport RAT的配置数据, 包括用于连接的域. Rapid7观察到NetSupport RAT试图与以下域通信:
- rewilivak13 [.] com
- greekpool [.] com
在成功访问受损资产后, Rapid7观察到威胁行为者试图部署钴打击信标, 伪装成合法的动态链接库(DLL) 7z.DLL, 使用Impacket工具集发送到与受损资产相同网络中的其他资产.
在我们对 7z.DLL, Rapid7观察到DLL被修改为包含一个函数,其目的是使用硬编码密钥对Cobalt Strike信标进行异或解密,然后执行信标.
威胁行为者将试图通过执行合法的二进制7zG来部署Cobalt Strike信标.Exe并传递命令行参数' b ', i.e. “C: \ \公共\ 7 zg用户.exe b”. 通过这样做,合法的二进制7zG.exe侧面负载 7z.DLL, 进而执行嵌入的Cobalt Strike信标. 这种技术被称为 DLL侧载的方法,Rapid7在之前的博客文章中讨论过 IDAT装载机.
在成功执行后,Rapid7观察到信标注入了一个新创建的进程, 选择.exe.
缓解措施
Rapid7建议为所有已安装的远程监控和管理解决方案设定环境基线,并利用应用程序允许列表解决方案, 例如AppLocker或Microsoft Defender Application Control, 阻止所有未经批准的RMM解决方案在环境中执行. 例如,快速协助工具,quickassist.Exe,可以是 通过AppLocker阻止执行. 作为额外的预防措施, Rapid7建议封锁与所有未经批准的RMM解决方案相关联的域. 包含RMM解决方案目录的公共GitHub仓库, 它们的二进制名称, 并且可以找到相关的域 在这里.
Rapid7建议确保用户了解已建立的IT渠道和通信方法,以识别和防止常见的社会工程攻击. 我们还建议确保用户有权报告自称来自内部IT人员的可疑电话和短信.
斜接丙氨酸&CK技术
策略 | 技术 | 过程 |
---|---|---|
拒绝服务 | T1498:网络拒绝服务 | 威胁行为者用垃圾邮件淹没了电子邮件保护解决方案. |
首次访问 | T1566.004网络钓鱼:鱼叉式网络钓鱼语音 | 威胁参与者呼叫受影响的用户,并假装是其组织的IT团队成员,以获得远程访问权限. |
执行 | T1059.003命令和脚本解释器:Windows命令Shell | 威胁参与者在建立对用户资产的远程访问后执行批处理脚本. |
执行 | T1059.001命令和脚本解释器:PowerShell | 威胁行为者使用的批处理脚本通过PowerShell执行某些命令. |
持久性 | T1547.001:启动或登录自动启动执行:注册表运行键/启动文件夹 | 攻击者通过PowerShell创建一个运行密钥来执行批处理脚本, 然后尝试通过SSH建立反向隧道. |
国防逃税 | T1222.001:文件和目录权限修改:Windows文件和目录权限修改 | 威胁行为者使用呼叫.通过批处理脚本修改文件权限. |
国防逃税 | T1140:解混淆/解码文件或信息 | 威胁参与者使用密码“qaz123”加密了几个邮政编码存档有效负载。. |
凭据访问 | T1056.001:输入捕获:键盘记录 | 威胁参与者运行一个批处理脚本,通过命令行输入记录用户的密码. |
发现 | T1033:系统所有者/用户发现 | 威胁演员使用whoami.Exe来评估受影响的用户是否是管理员. |
横向运动 | T1570横向工具转移 | Impacket被用来在受损系统之间移动有效载荷. |
指挥与控制 | T1572:协议隧道 | SSH反向隧道用于为威胁参与者提供持久的远程访问. |
Rapid7客户
通过Rapid7扩展的检测规则库,insighttidr和管理检测和响应客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署并将对与此恶意软件活动相关的行为发出警报的检测的非详尽列表:
检测 |
---|
攻击者技术-重命名SSH为Windows |
持久性-运行键由Reg添加.exe |
可疑程序-未经批准的申请 |
Suspicious Process - 7邮政编码 Executed From Users 导演y (*InsightIDR product only customers should evaluate 和 determine if they would like to activate this detection within the InsightIDR detection library; this detection is currently active for 耐多药/MTC customers) |
攻击者技术-用Net命令枚举域或企业管理员 |
网络发现-通过网络的域控制器.exe |
妥协指标
基于网络的指标
域/ IPv4地址 | 笔记 |
---|---|
upd7 [.] com | 批处理脚本和远程访问工具主机. |
upd7a [.] com | 批处理脚本和远程访问工具主机. |
195.123.233[.]55 | 批处理脚本中包含的C2服务器. |
38.180.142[.]249 | 批处理脚本中包含的C2服务器. |
5.161.245[.]155 | 批处理脚本中包含的C2服务器. |
20.115.96[.]90 | 批处理脚本中包含的C2服务器. |
91.90.195[.]52 | 批处理脚本中包含的C2服务器. |
195.123.233[.]42 | 批处理脚本中包含的C2服务器. |
15.235.218[.]150 | 攻击者使用的AnyDesk服务器. |
greekpool [.] com | 主NetSupport RAT网关. |
rewilivak13 [.] com | 备NetSupport RAT网关. |
77.246.101[.]135 | 用于通过AnyDesk连接的C2地址. |
limitedtoday [.] com | 钴矿C2域. |
thetrailbig [.)净 | 钴矿C2域. |
主机指标(hbi)
文件 | SHA256 | 笔记 |
---|---|---|
s.邮政编码 | C18E7709866F8B1A271A54407973152BE1036AD3B57423101D7C3DA98664D108 | 包含威胁参与者使用的SSH配置文件的有效负载. |
id_rsa | 59 f1c5fe47c1733b84360a72e419a07315fbae895dd23c1e32f1392e67313859 | 下载到受影响资产的RSA私钥. |
id_rsa_client | 2 ec12f4ee375087c921be72f3bd87e6e12a2394e8e747998676754c9e3e9798e | 下载到受影响资产的RSA私钥. |
authorized_keys | 35456 f84bc88854f16e316290104d71a1f350e84b479eebd6fbb2f77d36bca8a | 被威胁行为者下载到受影响资产的授权密钥. |
RuntimeBroker.exe | 6 f31cf7a11189c683d8455180b4ee6a60781d2e3f3aadf3ecc86f578d480cfa9 | 合法OpenSSH for Windows实用程序的重命名副本. |
a.邮政编码 | A47718693DC12F061692212A354AFBA8CA61590D8C25511C50CFECF73534C750 | 包含批处理脚本和合法ScreenConnect设置可执行文件的有效负载. |
a3.邮政编码 | 76年f959205d0a0c40f3200e174db6bb030a1fde39b0a190b6188d9c10a0ca07c8 | 包含凭证收集批处理脚本. |