技術支援
文件
登錄
聯繫我們
Budworm駭客以新的間諜攻擊瞄準美國組織
奧班拉·奧佩耶米
實施期間: 2022年10月28 日 - TuxCare專家團隊
臭名昭著的網路間諜組織Budworm對一些備受矚目的目標發起了蓄意攻擊,包括美國州立法機構,中東國家和跨國電子製造商。
對未具名的美國州立法機構的攻擊標誌著Budworm多年來首次針對美國實體。
根據賽門鐵克威脅獵人團隊的說法,Budworm 團夥利用了Log4j漏洞(CVE-2021-44228和 CVE-2021-45105)。利用的漏洞被用來破壞伺服器上的Apache Tomcat服務,以便安裝Web shell。攻擊者使用託管在Vultr和Telstra上的虛擬專用伺服器(VPS)作為命令和控制(C&C)伺服器。
Budworm的主要有效載荷仍然是HyperBro惡意軟體家族,它通常使用一種稱為動態連結庫(DLL)側載入的技術進行載入。這涉及攻擊者將惡意 DLL 放置在預期可以找到合法 DLL 的目錄中。然後,攻擊者運行合法應用程式(自己安裝)。然後,合法應用程式載入並執行有效載荷,「報告披露」。
對於最近的攻擊,Budworm使用端點許可權管理軟體CyberArk Viewfinity進行旁載入。二進位文件的預設名稱vf_host.exe,通常由攻擊者留下,以將自己偽裝成更無害的檔。
雖然攻擊者使用PlugX / Korplug木馬作為有效載荷,但在攻擊期間使用的其他工具包括Cobalt Strike,LaZagne,IOX,Fast Reverse Proxy (FRP)和Fscan。
Cobalt Strike是一種現成的工具,用於將shellcode載入到受害者機器上。儘管它是一種合法的滲透測試工具,但它可以被威脅行為者利用。LaZagne 是一個公開可用的憑據轉儲工具。IOX 是一個公開可用的代理和埠轉發工具。快速反向代理(FRP)是一種反向代理工具,而Fscan是公開可用的內部網掃描工具。
適當的安全措施對於減輕攻擊至關重要。組織必須使用最新的修補程式並將其安裝在其伺服器上。組織定期進行滲透測試以檢測其組織中可利用的漏洞也很重要,因為這可以讓攻擊者初始訪問任何組織。
這篇文章的來源包括 TheHackerNews上的一篇文章。
