查看原文
其他

SolarWinds 攻击者再次发动供应链攻击

Bill Toulas 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。


随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。


为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。


注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。





Mandiant 公司发布报告称曾发动 SolarWinds 供应链攻击的黑客组织  Nobelium,通过攻击云和管理服务提供商以及使用新的自定义 “Ceeloder” 恶意软件攻击全球政府机构和企业网络。

Nobelium 是微软攻击 SolarWinds 公司触发供应链攻击的黑客组织的命名。SolarWinds 供应链攻击导致多个美国联邦机构被攻陷。Nobelium 组织被指是俄罗斯对外情报服务局 (SVR) APT29 (或称 The Dukes 或 Cozy Bear)的入侵部门。

虽然 Nobelium 组织是使用自定义恶意软件和工具的高阶黑客组织,但仍然留下了可供研究人员进行分析的活动痕迹。研究人员从中发现了该组织使用的战术、技术和程序 (TTP) 以及一款新的自定义下载器 Ceeloader。

此外,研究人员将 Nobelium 组织分为两种各不相同的活动集群,它们被归因于 UNC3004和UNC2652,也就是说 Nobelium 组织是两个相互合作的黑客组织。



01供应链攻击


从 Mandiant 公司观察到的攻击活动来看,Nobelium 组织继续攻击云提供商和MSPs,以此获得对下游客户网络环境的初始访问权限。

报告指出,“在至少一个实例中,威胁组织找到并攻陷了一个本地 VPN 账户并利用该VPN账户执行侦察并获得对受害者CSP 环境中的内部资源访问权限,最终导致内部域名账户遭攻陷。“

在至少另外一起攻击活动中,Nobelium 组织使用 CRYPTBOT 密码窃取恶意软件窃取了合法的会话令牌,用于在受害者的 Microsoft 365 环境中进行身份验证。

值得注意的是,Nobelium 组织攻陷了单一环境中的多个账户,并将其用于多种功能中,从而在暴露情况下不会使整体运营面临风险。

报告提到,“威胁行动者利用受陷权限账户和 SMB、远程WMI、远程调度任务注册和 PowerShell 在受害者环境中执行命令。它使用这些协议主要是为了执行侦察、在网络分发 beacon (Cobalt Strike)以及运行原生 Windows 命令收割凭据。”



02新的自定义恶意软件 “Ceeloader”


Nobelium 组织开发并利用自定义恶意软件对网络获得后门访问权限,下载更多恶意软件、实施网络追踪、盗取 NTLM 凭据以及执行其它恶意行为。

Mandiant 公司发现了新的自定义下载器 “Ceeloader”,它用 C 语言编写并支持在内存中执行 shellcode payload。该恶意软件已被严重混淆并混用了Windows API 调用和大量垃圾代码来躲避安全软件的检测。Ceeloader 通过 HTTP 通信,而C2 响应使用 CBC 模式中的 AES-256 进行解密。

自定义 Ceeloader 下载器由一个 Cobalt Strike beacon 安装并执行,且不包括可持久性使其在 Windows 启动时自动运行。Nobelium 组织此前曾使用多种自定义恶意软件,如在 SolarWinds 供应链攻击中以及针对美国国际开发署(USAID) 的钓鱼攻击中均使用了恶意软件。



03多种隐藏技术


为阻止追踪这些攻击,Nobelium 组织使用了住宅IP地址(代理)、TOR、VPS(虚拟私有服务)和VPN(虚拟私有网络)访问受害者环境。

在某些情况下,Mandiant 还找到了用于托管由 Ceeloader抓取并发布到内存中的第二阶段 payload 的受陷 WordPress 站点。最后,该组织还是用合法的微软 Azure 托管系统,而IP 地址靠近受害者网络。该方法有助于结合外部活动和内部流量,导致研究员无法检测恶意流量并难以开展分析。



04Nobelium 组织依然活跃


Mandiant 公司提醒,Nobelium 组织得活动主要是收集情报,研究员已经发现黑客提取符合俄罗斯政治利益的文档。微软此前将 UNC2652和UNC3004与UNC2452关联在一起。UNC2452 就是发动 SolarWinds 供应链攻击的组织,因此它们均被归为 Nobelium 组织也说得通。Mandiant 公司表示如此归因尚未有足够充分的证据。

防御人员需要注意的是,黑客仍然在利用第三方和可信厂商如 CSPs 等渗透高价值目标网络,因此组织机构必须保持警惕,不断注意新的 IOCs 并将系统更新至最新版本。

Mandiant 公司已更新 UNC2452 白皮书,增加了在2021年攻击活动中观察到的所有新的 TTPs。

白皮书可参见:

https://www.mandiant.com/resources/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452











推荐阅读
“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了




原文链接

https://www.bleepingcomputer.com/news/security/russian-hacking-group-uses-new-stealthy-ceeloader-malware/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存