2024年中期,网络安全专业人员开始注意到针对全球政府、国防和科技组织的定向入侵事件激增。
这些事件与一个此前未被识别的威胁组织有关,该组织后来被命名为RedNovember,它利用开源工具和通用工具部署一种隐蔽的基于Go语言的后门程序。
最初的入侵通常源于对面向互联网的设备(包括虚拟专用网络设备、负载均衡器和网页邮件门户)的利用,这些利用借助了公开可用的概念验证漏洞。
随后的后期利用活动通常包括部署Pantegana命令与控制(C2)框架,以及Cobalt Strike和SparkRAT的变体,使操作者能够维持长期访问并在不被发现的情况下执行间谍活动。
Recorded Future的分析师在2025年7月发现了RedNovember的活动,当时有一波针对多个地区的Ivanti Connect Secure VPN设备的侦察行动。
在此次行动中,操作人员扫描了数十个政府部门和私营部门实体,随后投放了一个伪装成合法软件更新的恶意Go加载器。
受害者涵盖了东南亚的外交部门到美国的国防承包商,这凸显了该组织对高价值目标的战略关注。
红十一月组织(RedNovember)偏好使用现成的漏洞利用程序来快速获取大量初始访问权限,而非开发定制恶意软件,例如针对帕洛阿尔托全球保护(Palo Alto GlobalProtect)的CVE-2024-3400漏洞和针对飞塔(Check Point)VPN网关的CVE-2024-24919漏洞的利用就体现了这一点。
观察人士指出,在一系列地缘政治事件发生后,该组织的行动有所加速。
例如,针对台湾研究机构的侦察行动与中国在台湾海峡的军事演习同时发生,而在美方高层外交访问之后,巴拿马政府机构遭到了大范围的针对性攻击。
“红色十一月”的活动与外交或军事行动之间的关联性表明其存在国家支持的情报动机,该组织利用开源工具来混淆归属并降低运营成本。
这种策略加大了大规模利用的风险,因为攻击者可以迅速将新发布的概念验证代码武器化,而无需大量的开发成本。
感染机制
RedNovember工具包的一个关键组件是LESLIELOADER,这是一个基于Go语言的加载器,它会先对有效载荷进行验证和解密,然后再在内存中执行。
该加载器通过包含PDF诱饵文档的鱼叉式钓鱼邮件进行分发。执行后,LESLIELOADER会执行AES解密程序,以解包SparkRAT或Cobalt Strike Beacon模块。
Recorded Future的附录D中一个简化的YARA规则说明了这种解密行为:-
rule MALLESLIELOADER {
meta:
author = "Insikt Group, Recorded Future"
description = "Detects LESLIELOADER Malware used by RedNovember"
strings:
$s1 = ".DecrptogAES"
$s2 = ".UnPaddingText1"
condition:
uint16(0) == 0x4D5A and all of ($s*)
}部署后,加载器会通过HTTP协议联系一个硬编码的域名(例如:download.offiec.us.kg),获取加密的有效载荷,并将其放入临时目录。
嵌入在二进制文件中的AES密钥用于将有效载荷直接解密到内存中,从而绕过磁盘写入并避开传统的防病毒引擎。
有效载荷执行后,后门通过在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下创建Windows注册表运行项来建立持久性,并禁用事件日志功能以阻碍法医审计。
内存中执行、加密有效载荷传输和日志操纵的这种组合,使RedNovember能够长时间维持隐蔽的立足点,让操作者能够窃取敏感数据并进行横向移动,同时将被检测的风险降至最低。
尽管这些策略十分复杂,但防御者可以通过监控已知的C2域名、对边界设备实施严格的补丁管理,以及采用能够识别内存中加载器的基于行为的检测手段,来扰乱RedNovember的运作。
持续的网络分段以及增强对外设设备的可见性,对于缓解这一持续存在的威胁仍然至关重要。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
