内存安全周报第158期 | 黑客从政府系统的安全U盘中窃取数据
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
一、黑客从政府系统的安全U盘中窃取数据(10.22)
一种名为“TetrisPhantom”的复杂新型漏洞持续利用受损的安全U盘来攻击亚太地区的政府系统。
详细情况
安全U盘将文件存储在其加密部分,从而得以在系统之间安全地传输数据,包括气隙环境中的系统。该软件根据用户提供的密码对内容进行解密,由此使得通过定制软件访问受保护的内容变得有可能。其中一个类似的软件是UTetris.exe,它常被安装在U盘的未加密部分。
安全研究人员在一次针对亚太地区政府的攻击活动中发现,木马版本的UTetris应用程序被部署在安全U盘上,该攻击活动已经持续了至少几年。研究人员最新的APT趋势报告显示,TetrisPhantom使用各种工具、命令和恶意软件组件,这表明其为一批复杂且资源充足的漏洞。
研究人员说到:“攻击包括复杂的工具和技术,包括基于虚拟化的软件对恶意软件组件进行混淆,使用直接SCSI命令与U盘进行低级通信,通过连接的安全U盘进行自我复制以传播到其他气隙系统,并将代码注入U盘上的合法访问管理程序,而该程序一般都是新设备上恶意软件的加载程序。”
研究人员解释道,木马化的Utetris应用程序的攻击始于在目标机器上运行一个名为AcroShell的有效载荷。AcroShell在攻击者的命令和控制(C2)服务器之间建立通信线路,从而获取和运行额外的有效载荷来窃取文档和敏感文件,并收集目标使用U盘的具体细节。这些“漏洞使者”们还通过用该方式收集来的信息来研究和开发另一种名为XMKR的恶意软件以及木马化的UTetris.exe。
研究人员提到:“XMKR模块部署在Windows机器上,负责破坏连接到系统的安全U盘,将攻击传播到潜在的气隙系统”。
XMKR在设备上的功能包括窃取用于间谍目的的文件,并将数据写入U盘。当存储设备插入一台感染了AcroShell的联网计算机时,受损USB上的信息就会被泄露到攻击者的服务器上。研究人员检索并分析了两个恶意的Utetris可执行变体,一个使用于2022年9月至10月期间(版本1.0),另一个从2022年10月到现在一直部署在政府网络中(版本2.0)。
参考链接
二、欧洲政府电子邮件服务器被零日漏洞攻击(10.25)
俄罗斯某黑客组织利用某网页邮箱的零日漏洞攻击欧洲政府机构和智库,使用网络钓鱼邮件注入任意JavaScript代码并从受感染的网页邮箱服务器窃取电子邮件,促使该邮箱开发团队发布安全更新以修复该漏洞。
详细情况
俄罗斯某黑客组织至少从10月11日起就开始利用某网页邮箱的一个零日漏洞来攻击欧洲政府机构和智库。这个零日漏洞允许存储跨站脚本(XSS)攻击,由研究人员发现,随后由该网页邮箱开发团队在10月16日对其进行了修补。攻击者也被称为TA473,他们精心制作了一个SVG文档,将其嵌入在HTML电子邮件消息中,将任意JavaScript代码注入受害者的浏览器。这些网络诈骗消息冒充Outlook Team并诱使收件人打开恶意电子邮件,从而触发利用电子邮件服务器漏洞的初始有效载荷。最后的JavaScript有效载荷使恶意行为者能够访问和窃取受感染的web邮件服务器上的电子邮件。
这支黑客组织于2021年4月首次被发现,其目标是世界各地的政府机构,包括印度、意大利、立陶宛、乌克兰和梵蒂冈。他们的目标与白俄罗斯和俄罗斯的利益一致。至少从2022年开始,他们就一直在攻击政府机构拥有的Zimbra和网页电子邮箱服务器,之前的攻击包括利用网页邮箱和Zimbra的漏洞。该组织在网页邮箱中使用零日漏洞意味着他们的行动升级,因为他们以前依赖于已知的漏洞。它们的持续存在和频繁的网络钓鱼活动,加上对已知存在漏洞的面向互联网的应用程序缺乏定期更新,对欧洲各国政府构成了重大威胁。
参考链接
