根據資安公司ESET 的研究，名為Evasive Panda 的中國APT駭客組織以中國非營利組織為目標，利用自訂義的自定義後門MgBot，作為騰訊QQ 即時通訊應用程式自動更新的一部分，來監視受害者並從他們的設備收集數據。研究指出該活動於 2020 年 11 月開始，攻擊鏈旨在分發 MgBot 惡意軟體的 Windows 安裝程式，大多數受害者是國際NGO（非政府組織）的成員，分佈在甘肅、廣東和江蘇等省份，顯示出相當具體和集中的目標。

中國國家級駭客組織Evasive Panda，也被稱為 Bronze Highland 和 Daggerfly，是一個至少從 2012年開始活躍的網路間諜組織，此前曾針對中國大陸、香港、澳門、尼日利亞以及東南亞和東亞多個國家的組織和個人發動攻擊。

ESET 報告稱，MsgBot惡意軟體負載作為騰訊 QQ 軟體更新從屬於軟體開發商的合法 URL 和 IP 地址傳遞給受害者，這意味著攻擊可能有兩種情況 – 供應鏈攻擊或中間人 (Adversary-in-the-middle AITM) 攻擊。

在第一種情況下，Evasive Panda 必須入侵騰訊 QQ 的更新分發伺服器，以合法軟體更新為幌子將木馬化應用程式“QQUrlMgr.exe”發送給受害者。ESET 注意到更新程式的木馬化版本從寫死 URL的（“update.browser.qq[.]com”）獲取惡意軟體，並使用與伺服器提供的MD5 哈希匹配的寫死解密密鑰，由於騰訊並未回應ESET的提問，該網址的合法性還有待確認。此外，分析人員無法從伺服器檢索 XML 更新數據的樣本，因此未能揭示惡意軟體的傳遞機制。

若在中間人攻擊情況下，ESET注意到與過去採用這種策略的活動，涉及名為 LuoYu 的中國駭客團隊， 卡巴斯基也在2022 年 6 月詳細報告了該活動，攻擊活動使用 “WinDealer”惡意軟體，從中國電信生成隨機 IP 地址來執行 AITM 或攻擊者端攔截。這些 IP 似乎與在 Evasive Panda 活動中傳送 MgBot 惡意軟體的 IP 範圍相同。

雖然根據觀察到的巧合和可能的解釋，這兩種情況都是合理的，但 ESET無法找到明確的證據，許多問題仍未得到解答。

在此活動中提供的 MgBot有效負載(Payloads)是 Evasive Panda 自 2012 年開始營運以來一直使用的 C++ Windows 後門。

ESET 報告稱，自Malwarebytes 在 2020 年對MgBot進行分析以來，該惡意軟體的安裝程式、後門、功能和執行鏈基本保持不變。

MgBot 使用模組化架構來擴充其功能，從執行專門功能的 C2 接收 DLL plugin 模組，包括：

*特定騰訊應用程式的keylogging記錄

*從硬碟和 USB筆型隨身碟中竊取檔案

*收集複製到剪貼板的文本

*收集輸入和輸出音頻流

*從 Outlook 和 Foxmail 電子郵件客戶端竊取憑證

*從 Chrome、Opera、Firefox、Foxmail、QQBrowser、FileZilla、WinSCP 等竊取憑證

*竊取存儲用戶歷史消息的騰訊QQ數據庫內容

*竊取騰訊微信資料

*從 Firefox、Chrome 和 Edge 竊取 cookies

Evasive Panda APT 被發現針對中國用戶，旨在從中國應用程式竊取數據，利用不明確的方法對騰訊 QQ 軟體執行供應鏈攻擊。這是該組織超越社交工程、網路釣魚、SEO 投毒等標準感染方法的最新的例子，ESET呼籲潛在目標需提高警惕。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

研究發現，一種名為 AuKill 的新型駭客工具因其隱蔽功能而越來越受到攻擊者的青睞，該工具旨在通過自帶驅動程式攻擊手法（Bring Your Own Vulnerable Driver，BYOVD）來關閉端點偵測和回應(EDR) 軟體。BYOVD 技術依賴於攻擊者濫用由 Microsoft 簽章的合法但過時且可利用的驅動程式（或使用被盜或外洩露的憑證）來獲得提升的特權並關閉安全機制。自今年年初以來，AuKill 已被用於至少三起勒索軟體攻擊。根據Sophos 報告，研究人員觀察到不同的攻擊者團體在各種惡意活動中使用 AuKill來關閉 EDR 進程:

*在 2023 年的首兩個月，觀察到兩起不同的Medusa Locker 勒索軟體攻擊活動。在 1 月 18 日和 2 月 14 日，攻擊者使用 AuKill 終止了 EDR進程，然後部署了 Medusa Locker 勒索軟體

*2 月的另一起活動則發現AuKill 被用來部署 LockBit 勒索軟體

AuKill是如何運作的？

AuKill 工具針對Process Explorer的 v16.32 (過時版本)透過自帶易受攻擊驅動程式攻擊 BYOVD的技術終止 EDR 進程。

*感染後，它在 Microsoft Process Explorer v16.32 使用的驅動程式旁邊放置一個易受攻擊的 Windows 驅動程式 procexp.sys。Process Explorer是一個非常流行且合法的實用程式，可幫助收集有關活動 Windows 進程的資料。

*接下來，AuKill會檢查它是否以 SYSTEM 權限運行。如果不是，它會嘗試通過模擬 TrustedInstaller Windows 模組安裝程序服務來升級到所需的權限。

*它啟動多個線程來掃描和終止與 EDR 相關的服務和進程。AuKill 針對的 EDR供應商和服務因樣本而異，包括 Microsoft、Sophos、Splashtop 和 Aladdin HASP Software。

在default情況下，Windows使用驅動程式簽章強制功能來確保內核模式驅動程式在操作系統允許其執行之前已由有效的程式簽章機構簽章。為了繞過安全措施，攻擊者需要找到一種方法讓惡意驅動程式通過受信任的憑證簽章，或者濫用合法的商業軟體驅動程式來達到他們的目標。在 Sophos 觀察到的攻擊中，攻擊者使用了由 Microsoft 建立並簽章的驅動程式。

Process Explorer 驅動程式是Windows Sysinternals開發的一套進階的系統管理工具套件的一部分，是一種進程檢視器和控制公用程式。 根據Sophos ，AuKill 將名為 PROCEXP.SYS 的驅動程序式（來自進程資源管理器的發行版 16.32）放入 C:\Windows\System32\drivers 路徑。合法的 Process Explorer 驅動程式名為 PROCEXP152.sys，通常位於同一位置。兩個驅動程式都可以存在於運行 Process Explorer 副本的機器上。AuKill 安裝程式還將其自身的可執行副本放入 System32 或 TEMP 目錄，作為服務運行。

AuKill 並不是第一個通過 Process Explorer 針對 EDR 服務的工具。過去，一個名為 Backstab 的開源工具執行了類似的操作。據信，AuKill 是使用與 Backstab 相同的核心技術開發的。Sophos 報告稱研究人員收集了 AuKill 惡意軟體的六種不同變種，這些變種與開源工具 Backstab 有多種相似之處。研究人員觀察到的相似之處包括debug字串，以及與驅動程式互動的幾乎相同的程式碼邏輯。

AuKill的部分入侵指標(Indicator of compromise -IOCs):

SHA 1

f7b0369169dff3f10e974b9a10ec15f7a81dec54

23b531ae8ca72420c5b21b1a68ff85524f36203a   

7f93f934b570c8168940715b1d9836721021fd41

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

攻擊者正在入侵安全性差且暴露於互聯網的微軟 SQL 伺服器以部署 Trigona 勒索軟體

Trigona勒索軟體的logo

4月17日，根據韓國資安公司 AhnLab，攻擊者正在侵入 Microsoft SQL (MS-SQL) 伺服器以安裝 Trigona 勒索軟體有效負載並加密檔案。由於這些伺服器沒有得到很好的保護並且暴露在互聯網上，攻擊者可通過使用易於猜測的帳號憑證，使用暴力或字典攻擊來存取 MS-SQL伺服器。在成功連接到伺服器後，攻擊者將部署名為CLR Shell的惡意程式，可允許攻擊者利用Windows 輔助登錄服務中的漏洞獲取系統資訊並將提升權限到 LocalSystem。CLR Shell 是一種 CLR 程式集惡意軟體，它接收來自攻擊者的命令並執行惡意行為，類似於 Web伺服器的 WebShell。

根據AhnLab 對ASD 日誌的分析顯示，MS-SQL 進程 sqlservr.exe 以啟動偽裝為svchost.exe的Trigona勒索軟體。當 svcservice.exe 作為服務執行時，它會執行 Trigona 勒索軟體，還會建立並執行用於執行勒索軟體的 svchost.bat，svchost.bat 再將 Trigona 二進製檔案註冊到 Run key以保持持久性。svchost.bat 還會刪除卷影副本並關閉系統恢復功能，以防止受害者恢復加密檔案。

勒索軟體通過添加 ._locked副檔名來重新命名加密檔案，並在每個檔案夾中建立名為“how_to_decrypt.hta”的勒索信，其中包含有關攻擊的資訊、指向 Trigona Tor協商網站的連結以及包含登錄協商站點所需的授權密鑰的連結，Trigona 勒索軟體操作於 2022 年 10 月首次被 MalwareHunterTeam發現，以僅接受全球受害者使用 Monero 加密貨幣支付的贖金而聞名。Trigona 勒索軟體組織一直是源源不斷的攻擊的幕後黑手，自今年年初以來，至少有 190 次提交給 ID Ransomware組織平台。

Ahn Lab敦促管理員必須使用不容易猜到的密碼，並定期更改它們，以保護資料庫伺服器免受暴力破解和字典攻擊。SQL server的 V3應更新到最新版本，以便防止惡意軟體感染。管理員還應使用安全程式（如防火牆）用於從外部存取的資料庫伺服器，以限制外部威脅參與者的存取。

Trigona勒索軟體的部分入侵指標(Indicator of compromise -IOCs)

– 1cece45e368656d322b68467ad1b8c02 — Trigona Dropper (svcservice.exe)

– 530967fb3b7d9427552e4ac181a37b9a — Trigona Ransomware (svchost.exe)

– 1e71a0bb69803a2ca902397e08269302 — Batch Runner (svchost.bat)

– 46b639d59fea86c21e5c4b05b3e29617 — CLR Shell

– 5db23a2c723cbceabec8d5e545302dc4 — nt.exe

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”