内存安全周报第151期 | 黑客组织Flax Typhoon利用LOLBins逃避检测
一、黑客组织Flax Typhoon利用LOLBins逃避检测(8.25)
经发现,新黑客组织“Flax Typhoon”针对政府机构、教育、关键制造和信息技术组织实施间谍活动。
详细情况
据了解,黑客组织Flax Typhoon利用操作系统上已有的大部分组件,即live-off-the-land 二进制文件、LOLBins 以及合法软件来获取和维护对受害者网络的访问。最早从2021年中期开始,Flax Typhoon主要攻击台湾的组织;经调查,东南亚、北美和非洲地区也存在Flax Typhoon的受害者。
Flax Typhoon 利用面向公众的服务器(包括 VPN、Web、Java 和 SQL 应用程序)中的已知漏洞获得初步访问权限。随后,黑客投放China Chopper这一小型 (4KB), 但功能强大的 Web shell ,提供远程代码执行功能。此外,Flax Typhoon使用开源工具“Juicy Potato”和“BadPotato”将权限提升至管理员级别,利用已知漏洞来获取更高权限。之后,Flax Typhoon 通过注册表修改关闭网络级身份验证 (NLA) ,并利用 Windows 粘滞键辅助功能建立 RDP(远程桌面协议)连接,黑客使用本地系统权限访问任务管理器,启动终端后创建内存转储,对被感染的系统执行任何操作。
为规避 RDP 与内部网络的连接限制,Flax Typhoon 安装合法VPN(虚拟专用网络)桥,维护受感染系统与其外部服务器之间的链接。黑客使用 LOLBins(例如 PowerShell Invoke-WebRequest 实用程序、 certutil或 Bitsadmin)下载开源 SoftEther VPN 客户端 ,并滥用内置 Windows工具将 VPN 应用程序设置为在系统启动时自动启动。为最大限度降低检测风险,黑客将其重命名为“conhost.exe”或“dllhost.exe”,伪装成合法Windows 组件。此外,Flax Typhoon 使用 SoftEther 的 VPN-over-HTTPS 模式将 VPN 流量隐藏为标准 HTTPS 流量。研究人员表示,黑客使用 Windows 远程管理 (WinRM)、WMIC 和其他 LOLBins 进行横向移动,且Flax Typhoon经常使用 Mimikatz 工具,从本地安全授权子系统服务 (LSASS) 进程内存和安全帐户管理器 (SAM) 注册表配置单元中提取凭据。
参考链接
二、黑客利用WinRAR零日漏洞攻击交易账户(8.23)
自2023年4月,黑客利用WinRAR零日漏洞CVE-2023-38831传播DarkMe、GuLoader、Remcos RAT等恶意软件,破坏在线加密货币交易账户。
详细情况
据了解,黑客利用WinRAR 零日漏洞创建恶意.RAR和.ZIP存档,存档内存放JPG (.jpg) 图像、文本文件 (.txt) 或 PDF (.pdf) 看似无害的文件。当用户打开文档时,零日漏洞CVE-2023-38831将执行脚本,在用户设备上安装恶意软件。2023年8月2日,WinRAR 新发布版本 6.23,该版本修复了CVE-2023-38831、 CVE-2023-40477等漏洞。
研究人员发现, 漏洞CVE-2023-38831通过创建特制存档触发脚本运行,由于特质文档与安全文件相似,WinRAR 的 ShellExecute 函数在尝试打开诱饵文件时,会接收错误参数,导致程序跳过无害文件,转而定位并执行批处理或 CMD 脚本。因此,当用户认为打开一个安全文件时,程序实际会启动一个不同的文件。
脚本执行后会启动一个自解压 (SFX) CAB 存档,该存档使用DarkMe、GuLoader 和 Remcos RAT等恶意软件菌株感染计算机,从而向黑客提供受感染设备的远程访问权限。其中,黑客以交易者为目标,使用DarkMe窃取交易者的加密资产;同时,黑客使用Remcos RAT 获得受感染设备的更多权限,包括任意命令执行、键盘记录、屏幕捕获、文件管理和反向代理功能。
参考链接
