據觀察,與中國和俄羅斯網絡犯罪生態系統有關的威脅活動集羣使用了一種新的惡意軟件,該惡意軟件旨在將Cobalt Strike加載到受感染的機器上。
芬蘭網絡安全公司WithSecure將這種惡意軟件稱爲SILKLOADER,它利用DLL側加載技術來提供商業對手模擬軟件。
針對Cobalt Strike(一種用於紅隊行動的合法後開發工具)的檢測能力有所提高,迫使威脅行爲者尋求替代方案或設計新方法來傳播框架以逃避檢測。
WithSecure研究人員表示:“其中最常見的包括通過使用封裝器、加密器、加載器或類似技術來增加自動生成信標或stage有效載荷的複雜性。”
SILKLOADER加入了其他裝載機,如KoboldLoader、MagnetLoader和LithiumLoader,這些裝載機最近被發現採用了Cobalt Strike組件。
它還與lithumloader有重疊之處,都採用DLL側加載方法來劫持合法應用程序,目的是運行一個單獨的惡意動態鏈接庫(DLL)。
SILKLOADER通過專門製作的libvlc.dll文件來實現這一點,該文件與合法但重命名的VLC媒體播放器二進制文件(Charmap.exe)一起放置。
WithSecure的研究員Hassan Nejad說:“Cobalt Strike信標非常有名,在保護良好的機器上檢測到它們幾乎是可以保證的。”
“然而,通過向文件內容添加額外的複雜性層,並通過VLC Media Player等已知應用程序通過側加載啓動它,攻擊者希望避開這些防禦機制。”
WithSecure表示,在分析了2022年第四季度針對巴西、法國和臺灣各種組織的各種實體的“幾次人爲入侵”後,他們確定了外殼代碼加載器。
儘管這些攻擊沒有成功,但該活動被懷疑是勒索軟件部署的先導,其戰術和工具與Play勒索軟件運營商的戰術和工具“嚴重重疊”。
在一次針對一家未具名的法國社會福利組織的攻擊中,威脅行爲者利用一個受損的Fortinet SSL VPN設備來部署Cobalt Strike信標,從而在網絡中站穩了腳跟。
“威脅行爲者在這個組織中立足了好幾個月,”WithSecure說。“在此期間,他們進行了發現和憑證竊取活動,隨後部署了多個Cobalt Strike信標。”
但當這種嘗試失敗時,對手轉而使用SILKLOADER繞過檢測並交付信標有效載荷。
這還不是全部。另一個被稱爲BAILLOADER的加載程序,也被用於分發Cobalt Strike信標,最近幾個月與涉及量子勒索軟件、GootLoader和IcedID木馬的攻擊有關。
據稱,BAILLOADER與代號爲Tron的加密程序有相似之處,後者已被不同的對手用於分發Emotet、TrickBot、BazarLoader、IcedID、Conti勒索軟件和Cobalt Strike。
這就產生了一種可能性,即不同的威脅行爲者正在共享第三方分支機構提供的Cobalt Strike信標、密碼器和基礎設施,以使用不同的策略爲多種入侵提供服務。
換句話說,SILKLOADER很可能通過Packer-as-a-Service項目向俄羅斯的威脅行爲者提供現成的裝載機。
WithSecure表示:“這個加載程序要麼直接提供給勒索軟件組織,要麼可能通過向可信的附屬機構提供Cobalt Strike/基礎設施即服務的組織提供。”
“在康迪集團被指關閉後,這些子公司中的大多數似乎都是該集團及其成員和後代的一部分,或與之有密切的工作關係。”
該公司分析的SILKLOADER樣本顯示,該惡意軟件的早期版本可以追溯到2022年初,該裝載機專門用於針對中國內地和香港受害者的不同攻擊。
據信,攻擊目標從東亞轉移到巴西和法國等其他國家大約發生在2022年7月,此後所有與silkloader相關的事件都被歸咎於俄羅斯網絡犯罪分子。
這進一步讓位於一種假設,即“SILKLOADER最初是由在中國網絡犯罪生態系統中活動的威脅行爲者編寫的”,並且“至少早在2022年5月至2022年7月,該加載程序就被該聯繫中的威脅行爲者使用了”。
“在2022年7月至2022年9月期間,構建器或源代碼後來被俄羅斯網絡犯罪生態系統中的威脅行爲者收購,”WithSecure表示,並補充說,“中國原作者在不再需要加載器時,將其賣給了俄羅斯威脅行爲者。”
SILKLOADER和BAILLOADER都是威脅行爲者改進和重組其方法以保持領先於檢測曲線的最新例子。
WithSecure的研究人員總結道:“隨着網絡犯罪生態系統通過服務產品變得越來越模塊化,不再可能僅僅通過將攻擊與攻擊中的特定組件聯繫起來就將攻擊歸因於威脅組織。”
聲明:本文相關資訊來自thehackernews,版權歸作者所有,轉載目的在於傳遞更多信息。如有侵權,請聯繫本站處理。