情报收集可能是针对各个部门的活动的动机
一个先前未知的高级持续威胁 (APT) 组织使用定制恶意软件和多种公开可用的工具来针对台湾制造、IT 和生物医学领域的许多组织。
位于太平洋岛屿的一个政府机构以及越南和美国的组织似乎也受到了此次攻击活动的打击。该活动于 2023 年 2 月开始,至少持续到 2023 年 5 月。
Broadcom旗下的赛门铁克威胁猎手团队已将此活动归因于一个我们称为 Grayling 的新组织。这项活动之所以引人注目,是因为 Grayling 使用了一种独特的 DLL 旁加载技术,该技术使用自定义解密器来部署有效负载。推动这一活动的动机似乎是情报收集。
攻击者活动
有迹象表明,Grayling 可能会利用面向公众的基础设施来初始访问受害机器。在 DLL 旁加载活动发生之前,在某些受害计算机上观察到 Web shell 部署。DLL 侧面加载用于加载各种有效负载,包括 Cobalt Strike、NetSpy 和 Havoc 框架。
攻击者一旦获得对受害者计算机的初始访问权限,就会采取各种行动,包括升级权限、网络扫描和使用下载程序。
攻击者使用的策略、技术和程序 (TTP) 包括:
1、Havoc:攻击者在 2023 年初开始使用的开源后利用命令和控制框架,似乎是 Cobalt Strike 和类似工具的替代品。Havoc 能够执行各种活动,包括执行命令、管理进程、下载额外的有效负载、操作 Windows 令牌和执行 shellcode。Havoc 还因跨平台而闻名。
2、Cobalt Strike:一种现成的工具,可用于执行命令、注入其他进程、提升当前进程或模拟其他进程以及上传和下载文件。它表面上具有作为渗透测试工具的合法用途,但总是被恶意行为者利用。
3、NetSpy:一种 公开可用的间谍软件工具。
4、CVE-2019-0803 的利用:当 Win32k 组件无法正确处理内存中的对象时,Windows 中存在特权提升漏洞。
5、Active Directory 发现:用于查询 Active Directory 并帮助映射网络。
6、Mimikatz: 公开可用的凭证转储工具。
7、杀死进程
8、下载器
从 imfsb.ini 下载的未知负载
此活动中的典型攻击链似乎是通过导出的 API SbieDll_Hook 进行 DLL 旁加载。这会导致加载各种工具,包括导致 Cobalt Strike Beacon、Havoc 框架和 NetSpy 的 Cobalt Strike Stager。攻击者还从 imfsb.ini 加载和解密未知的有效负载。在此活动过程中还使用了 CVE-2019-0803 漏洞,同时下载并执行了 shellcode。
这些攻击者执行的其他后利用活动包括使用终止进程来终止名为 processlist.txt 的文件中列出的所有进程,以及下载公开可用的凭证转储工具 Mimikatz。
动机
虽然我们没有看到数据从受害者机器中泄露,但我们确实看到的活动和部署的工具表明该活动背后的动机是情报收集。受害者所在的行业——制造业、IT、生物医学和政府——也是最有可能成为情报收集目标的行业,而不是出于财务原因。
使用自定义技术与公开可用的工具相结合是我们目前从 APT 组织中看到的典型活动,威胁行为者经常使用公开的或非公开的工具来尝试绕过安全软件并帮助他们的活动停止在防守者的雷达下。Havoc 和 Cobalt Strike 等工具因其功能广泛,也经常被攻击者使用。对于熟练的攻击者来说,使用此类现有工具通常比开发具有类似功能的自定义工具更容易。使用公开可用的工具也会使调查人员更难以确定活动的归属。攻击者采取的步骤(例如终止进程等)也表明,隐藏此活动是他们的首要任务。
我们无法明确地将格雷林与特定地理位置联系起来,但针对台湾组织的大量攻击确实表明,他们可能在对台湾有战略利益的地区开展活动。
IOC
文件指示器
SHA256 哈希值:
da670d5acf3648b0deaecb64710ae2b7fc41fc6ae8ab8343a1415144490a9ae9 – Havoc framework
79b0e6cd366a15848742e26c3396e0b63338ead964710b6572a8582b0530db17 – Downloader
bf1665c949935f3a741cfe44ab2509ec3751b9384b9eda7fb31c12bfbb2a12ec – Downloader
c2a714831d8a7b0223631eda655ce62ff3c262d910c0a2ed67c5ca92ef4447e3 – Cobalt Strike Beacon
667624b10108137a889f0df8f408395ae332cc8d9ad550632a3501f6debc4f2c – Exploit for CVE-2019-0803
87a7e428d08ecc97201cc8f229877a6202545e562de231a7b4cab4d9b6bbc0f8 – Downloader
90de98fa17294d5c918865dfb1a799be80c8771df1dc0ec2be9d1c1b772d9cf0 – Loader
8b6c559cd145dca015f4fa06ef1c9cd2446662a1e62eb51ba2c86f4183231ed2 – Cobalt Strike Stager
d522bf1fb3b869887eaf54f6c0e52d90514d7635b3ff8a7fd2ce9f1d06449e2c – NetSpy
4fbe8b69f5c001d00bd39e4fdb3058c96ed796326d6e5e582610d67252d11aba – DLL file
9bad71077e322031c0cf7f541d64c3fed6b1dc7c261b0b994b63e56bc3215739 – NetSpy
f2aaedb17f96958c045f2911655bfe46f3db21a2de9b0d396936ef6e362fea1b – Downloader
525417bdd5cdd568605fdbd3dc153bcc20a4715635c02f4965a458c5d008eba9 – Downloader
23e5dfaf60c380837beaddaaa9eb550809cd995f2cda99e3fe4ca8b281d770ae – Downloader
6725e38cbb15698e957d50b8bc67bd66ece554bbf6bcb90e72eaf32b1d969e50 – Downloader
5ef2e36a53c681f6c64cfea16c2ca156cf468579cc96f6c527eca8024bfdc581 – Downloader 12924d7371310c49b1a215019621597926ef3c0b4649352e032a884750fab746 – Windump
ab09e8cac3f13dea5949e7a2eaf9c9f98d3e78f3db2f140c7d85118b9bc6125f
c76ba3eb764706a32013007c147309f0be19efff3e6a172393d72d46631f712e
245016ace30eda7650f6bb3b2405761a6a5ff1f44b94159792a6eb64ced023aa
4c44efc7d9f4cd71c43c6596c62b91740eb84b7eb9b8cf22c7034b75b5f432d9
e75f2cee98c4b068a2d9e7e77599998196fd718591d3fa23b8f684133d1715c3
f3e8f2ef4ad949a0ada037f52f4c0e6000d111a4ac813e64138f0ded865e6e31
971ab5d4f0ec58fa1db61622a735a51e14e70ee5d99ab3cd554e0070b248eb1f
f1764f8c6fc428237ffafeb08eb0503558c68c6ccf6f2510a2ef8c574ba347e0
c24b19e7ccd965dfeed553c94b093533e527c55d5adbc9f0e87815d477924be5
af26d07754c8d4d1cb88195f7dc53e2e4ebee382c5b84fc54a81ba1cee4d0889
1f15c3ae1ce442a67e3d01ed291604bfc1cb196454b717e4fb5ac52daa37ecce
7ea706d8da9d68e1214e30c6373713da3585df8a337bc64fcc154fc5363f5f1f
30130ea1ab762c155289a32db810168f59c3d37b69bcbedfd284c4a861d749d6
74cbde4d4b4ac4cae943831035bff90814fa54fd21c3a6a6ec16e7e3fb235f87
752018c117e07f5d58eed35622777e971a5f495184df1c25041ff525ca72acea
6a8c39e4c543e94f6e4901d0facee7793f932cd2351259d8054981cf2b4da814
803d0d07d64010b102413da61bbf7b4d378891e2a46848b88ef69ca9357e3721
7c1b20de1f170cfaf3e75ebc7e81860378e353c84469795a162cd3cfd7263ba2
a180e67fcaf2254b18eafdc95b83038e9a4385b1a5c2651651d9d288fa0500fe
de500875266fd18c76959839e8c6b075e4408dcbc0b620f7544f28978b852c1c
1ed1b6a06abbab98471d5af33e242acc76d17b41c6e96cce0938a05703b58b91
ba8a7af30e02bd45e3570de20777ab7c1eec4797919bfcd39dde681eb69b9faf
1b72410e8e6ef0eb3e0f950ec4ced1be0ee6ac0a9349c8280cd8d12cc00850f9
dcadcac4c57df4e31dd7094ae96657f54b22c87233e8277a2c40ba56eafcf548
d0e1724360e0ae11364d3ac0eb8518ecf5d859128d094e9241d8e6feb43a9f29
b19ccfa8bc75ce4cf29eb52d4afe79fe7c3819ac08b68bd87b35225a762112ba
6e5d840ddeedc3b691e11a286acd7b6c087a91af27c00044dd1d951da5893068
3acfe90afa3cbb974e219a5ab8a9ee8c933b397d1c1c97d6e12015726b109f1b
5ed10f2564cd60d02666637e9eac36db36f3a13906b851ec1207c7df620d8970网络指标
域名
d3ktcnc1w6pd1f.cloudfront[.]netIP 地址
172.245.92[.]207
3.0.93[.]185URL
http://45.148.120[.]23:91/version.dll
http://45.148.120[.]23:91/vmtools.exe转载来源:https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/grayling-taiwan-cyber-attacks
图片来源网络侵权可联系删除
