1. 攻击描述
近期疑似APT28攻击组织发起了一轮窃密活动,其特点是利用mockbin API获取受害者的敏感信息。山石网科情报中心获取了一批活动样本。分析显示攻击者通过自定义的Nishang脚本窃取NTLM哈希值,受害者执行脚本后会请求属于攻击者的mockbin API并发送这些信息。
2. 简要分析
攻击起始于一个恶意LNK文件。受害者执行该文件后将启动一个隐藏的powershell窗口,然后从指定的url下载一个恶意powershell脚本并执行它。其中用于托管恶意脚本的webhook.site是一个常用的web测试网站。
下载的powershell脚本是一个经过修改的Nishang脚本。Nishang是一个常用于渗透测试的powershell脚本合集,原脚本可用于获取用户的NTLM哈希值。修改后的脚本在获取NTLM哈希值后将携带哈希值向属于攻击者的mockbin API发起请求。
mockbin.org也是一个常用web测试网站,可以记录发出的请求。攻击者可在服务端查看被泄露的NTLM哈希。然后攻击者可暴力破解NTLM哈希获取受害者的密码。
山石情报中心已收录相关样本,用户可以在山石网科威胁情报中心云瞻中查看相关IOC信息:
3. 处置建议
用户可以通过使用山石网科的防火墙和NIPS产品,利用其C2和AV防护模块来提高网络安全,从而降低潜在风险。为确保最佳保护,用户应及时升级特征库,确保其包含最新安全特征信息。山石网科的防火墙不仅提供了先进的网络安全防护功能,还集成了态势感知云景的智能能力,可以高效地监测和拦截与APT组织相关的威胁情报(IOC)和恶意行为。此外,它还能够快速响应和拦截与当前安全趋势、安全事件和相关样本有关的威胁。
4. 失陷指标
https[:]//mockbin[.]org/bin/de22e2a8-d2af-4675-b70f-e42f1577da6e
https[:]//webhook[.]site/33128548-0eda-4e2b-bf89-7b1b225ecb9f
022d01e7007971f5a5096c4f2f2b2aa4
1e2a320658ba5b616eae7a3e247f44a6
358d9271b8e207e82dafe6ea67c1d198
转载来源:https://mp.weixin.qq.com/s/QFlQ_I08mDwyl8wl5_vshQ
图片来源网络侵权可联系删除