东南亚政府针对性攻击中发现疑似与 Gelsemium APT 有关的罕见后门

执行摘要

Unit 42 观察到的一组攻击东南亚政府目标的威胁行为者活动可以让我们深入了解一个罕见的隐秘 APT 组织——Gelsemium。

我们发现这一活动是对东南亚政府内部受损环境进行调查的一部分。我们将该簇识别为 CL-STA-0046。

这个独特的集群在 2022 年至 2023 年间的活动持续了六个月以上。它结合了罕见的工具和技术，威胁行为者利用这些工具和技术获得秘密立足点，并从属于东南亚政府实体的敏感 IIS 服务器收集情报。

除了一系列 Web shell 之外，威胁参与者使用的主要后门是 OwlProxy 和 SessionManager。这种组合在 2020 年曾被公开记录过一次，非常罕见，之前曾被用来针对老挝的多个实体。

根据我们的分析和可用的威胁情报，我们将 CL-STA-0046 归属于 Gelsemium APT 组织，并具有中等可信度。我们在此描述的观察结果可以提供对威胁组织的了解，迄今为止仅发布了少数公开报告。

根据ESET 发布的研究，Gelsemium APT 组织至少自 2014 年起就开始运作。该组织因其针对各种实体的倾向而闻名，包括政府、大学、电子制造商和宗教组织，主要集中在东亚和中东地区。中东。

尽管 Gelsemium 长期存在于威胁领域，但有关其策略、技术和程序 (TTP) 的信息有限。我们对这组活动的分析和描述为该 APT 组织可能使用的工具和策略提供了深入的技术见解。

此外，我们还提供了我们观察到的行动的记录时间表，为防御者提供了指标库。

图 1.CL-STA-0046 的时间线

CL-STA-0046 详情

感染载体

CL-STA-0046 背后的威胁参与者在受感染的 Web 服务器上安装了多个 Web shell 后获得了对环境的访问权限。观察到的 Web shell 类型如下：

1. reGeorg

2. 中国菜刀

3. AspxSpy Web shell

我们看到 CL-STA-0046 背后的威胁参与者使用的 AspxSpy Web shell 之一据报道被 Iron Taurus（又名 APT 27）在 2015 年用于 Iron Tiger 行动（根据趋势科技）。然而，这个特定的 Web shell 是公开可用的，任何威胁行为者都可以使用（因此未包含在我们的归因考虑中）。

攻击者使用 Web shell 进行了其他活动。他们通过 SMB 横向移动并下载了额外的工具。最初，攻击者执行了基本的侦察命令，例如ipconfig和whoami。随后，他们使用netscan和nbtscan收集有关受害者的更多信息。

在某些情况下，我们观察到攻击者开始向受感染的服务器提供工具。攻击者使用名为demo.exe的“类 shell”工具来运行附加命令，并使用 Potato Suite（JuicyPotato – j.exe、 BadPotato 和 SweetPotato – ev.exe）尝试执行权限提升。

安装附加工具和恶意软件

为了在该环境中站稳脚跟，CL-STA-0046 背后的攻击者下载了多种不同的工具。其中一些工具攻击者很少使用，而当其他研究人员观察到攻击者过去使用这些工具时，他们发现的是复杂的 APT 组织。

我们将在后续章节中描述我们观察到的以下工具：

1. OwlProxy

2. SessionManager

3. Cobalt Strike

4. SpoolFool

5. EarthWorm

攻击者通过 ping www.qq[.]com检查互联网连接，如图 2 所示。本网站是著名的中文门户网站。

图2. Cobalt Strike、Potato Suite、SpoolFool 和 EarthWorm 的流程树。

SessionManager

在我们的调查过程中，曾多次尝试在受感染的 Web 服务器上安装 SessionManger IIS 后门的变体，但均未成功。Cortex XDR 自动阻止这些尝试。

SessionManager 是一个独特的自定义后门，允许其操作员运行命令，以及将文件上传到 Web 服务器或从 Web 服务器下载文件。此威胁还允许攻击者使用 Web 服务器作为代理与网络上的其他系统进行通信。

根据2022 年 6 月发布的卡巴斯基博客，Gelsemium APT 组织在至少可以追溯到 2021 年 3 月的妥协中使用了 SessionManager。攻击者专门在政府、非政府、军事和工业组织中使用它。

我们在 CL-STA-0046 中观察到的 SessionManager 示例旨在检查所有入站 HTTP 请求并查找 HTTP 请求中包含特制 Cookie 字段的请求。

Cookie 字段将包含参与者所需的命令。SessionManager 支持以下命令：

1. 上传文件到服务器

2. 从服务器下载文件

3. 运行命令和应用程序

4. 代理与其他系统的连接

SessionManager 提供的代理功能表明参与者希望使用服务器作为入口点来与网络上的其他系统进行通信。

OwlProxy 恶意软件

攻击者使用的另一个独特的自定义工具是 OwlProxy。OwlProxy 是一种具有后门功能的 HTTP 代理，首次在 2020 年 4 月针对台湾政府的攻击中被发现。这次攻击是针对东亚和中东政府实体的攻击活动的一部分，被认为是Gelsemium所为。

威胁参与者部署了一个可执行文件，该可执行文件将嵌入的 DLL 保存到c:windowssystem32wmipd.dll中，并创建了一个名为 WMI Provider 的服务来运行该 DLL。

wmipd.dll DLL 是 OwlProxy 的变体，与 2020 年 4 月台湾攻击中讨论的变体略有不同。OwlProxy 的这个变体创建了一个 HTTP 服务，它将根据以下 UrlPrefix 格式处理对 URL 的入站 HTTP 请求：

1. HTTPS://+:443/topics/

2. HTTPS://+:443/topics/pp/

DLL 检查与 s?pa=和s?pp=这些 URL 匹配的传入请求，分别运行命令或设置代理。与 SessionManager 工具一样，OwlProxy 中的代理功能进一步推动了参与者计划使用服务器作为网络上其他系统的网关的主题。

作为 CL-STA-0046 活动的一部分，攻击者试图执行 OwProxy 恶意软件（名为client.exe），但 Cortex XDR 阻止了执行。遭到挫败后，攻击者尝试使用该工具的替代品，即 EarthWorm，该工具本身不一定是恶意的。

Cobalt Strike

攻击者试图执行Artifactd.exe，如上图 2 所示，它是一个 Cobalt Strike 信标，配置为与命令和控制 (C2) 27.124.26[.]83进行通信。

EarthWorm

EarthWorm 是一个公开的 SOCKS 隧道程序，虽然最初是为了研究目的而创建的，但在中文演员中很受欢迎。例如，卡巴斯基报告称，APT 27在针对亚洲政府实体的活动中使用了 EarthWorm。

CL-STA-0046 背后的威胁参与者在攻击者未能执行 OwlProxy 后使用了 EarthWorm，我们评估他们提供了 EarthWorm 作为替代品。

如上图 2 所示，攻击者使用 EarthWorm ( ew.exe ) 创建通往托管在27.124.26[.]86上的 C2 流量的隧道。该隧道允许攻击者将受感染网络的局域网 (LAN) 连接到其外部 C2。图 3 显示了 EarthWorm 网站的屏幕截图。

图 3.EarthWorm 网站的屏幕截图。

攻击者使用 EarthWorm 向其 C2 服务器发送和接收数据。

SpoolFool

除了使用上面提到的 Potato Suite 之外，攻击者还使用了 GitHub 上发布的另一种名为 SpoolFool 的本地权限提升 (LPE) 概念验证 (PoC)，如上图 2 所示。该工具利用CVE-2022-21999（Windows 打印后台处理程序特权提升漏洞）。

攻击者使用此工具尝试使用以下命令创建本地管理员用户（用户名admin，默认密码Passw0rd! ）。

归因

第 42 单元以中等置信度评估 CL-STA-0046 中观察到的活性与钩吻 APT 组相关。

此评估基于攻击者在 CL-STA-0046 中使用的独特恶意软件组合，即 SessionManager IIS 后门和 OwlProxy。在撰写本报告时，有关攻击者结合使用 SessionManager 和 OwlProxy 的唯一公开报告是有关 Gelsemium APT 组织的报告。

此外，CL-STA-0046 和钩吻之间存在受害者学重叠。ESET 研究人员报告称，该威胁组织过去曾针对东南亚的政府部门。

Gelsemium 自 2014 年以来一直在运作。公开的研究报告表明，该组织的目标是政府，并且他们过去一直在东南亚开展活动。尽管首次发现钩吻的研究人员并未将其归因于任何特定国家，但安全公司 Telsy和泰国 CERT认为该组织是在中国运作的。在撰写本报告时，Unit 42 无法确认这些归属声明。

结论

CL-STA-0046 是我们观察到的针对东南亚某国政府部门的三个集群之一。Unit 42 将 CL-STA-0046 背后的威胁行为者观察到的活动与 Gelsemium APT 组织关联起来，具有中等可信度。

作为我们观察到的活动的一部分，威胁参与者在尝试安装多种类型的代理恶意软件和 IIS 后门后，通过使用多个 Web shell 获得了访问权限。由于一些威胁行为者安装恶意软件的尝试没有成功，他们不断提供新工具，显示出他们适应缓解过程的能力。

这项调查的结果凸显了东南亚政府实体和受影响行业之间迫切需要加强安全措施、警惕监控和主动威胁情报共享。通过采用多层防御方法并随时了解新出现的威胁，组织可以更好地保护自己免受 Gelsemium 等威胁行为者采用的持续和不断变化的策略的影响。

妥协指标

Web Shells
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The Potato Suite

c7bd78b9a68198b8787d28ba5094827eb99a0798719bcb140f3afb695925566c
fd0b9f09770685ed6f40ecabcd31bc467fa22801164b52fdc638334009b7c06f
77e82c3d5fea369f6598339dcd97b73f670ff0ad373bf7fc3a2d8586f58d9d32
f0761ad307781bdf8da94765abd1a2041ac12a52c7fdde85f00b2b2cab6d6ce8
29cc79a451f73bac43dbe9455d2184770beae69f4e6bc2d824abd2cfbedf53f1
3268f269371a81dbdce8c4eedffd8817c1ec2eadec9ba4ab043cb779c2f8a5d2

Demo.exe

527063cb9da5eec2e4b290019eaac5edd47ff3807fec74efa0f1b7ddf5a1b271

OwlProxy

2f3abc59739b248ee26a575700eef93b18bd2029eb9f8123598ffdd81fa54d8b

SessionManager

b9a9e43e3d10cf6b5548b8be78e01dc0a034955b149a20e212a79a2cf7bee956

Cobalt Strike

ff7485d30279f78aba29326d9150b8c302294351e716ece77f4a3b890008e5fe

SpoolFool

c0a7a797f39b509fd2d895b5731e79b57b350b85b20be5a51c0a1bda19321bd0

EarthWorm

c254dc53b3cf9c7d81d92f4e060a5c44a4f51a228049fd1e2d90fafa9c0a44ee

Infrastructure

27.124.26[.]83
27.124.26[.]86

转载来源：https://unit42.paloaltonetworks.com/rare-possible-gelsemium-attack-targets-se-asia/

图片来源网络侵权可联系删除