分類: 資安

中國國家級駭客組織被發現利用HTML挾帶(HTML Smuggling) 通過 PlugX 遠端存取木馬(RAT)滲透各歐洲外交部和大使館。據資安公司 Check Point的報告，研究人員將該活動命名為 SmugX，稱該活動至少自 2022 年 12 月以來一直在持續，並補充說這是中國駭客將重點轉向歐洲，利用 HTML挾帶技術以PlugX遠端存取木馬感染目標系統。

HTML挾帶是一種高度規避的惡意軟體傳播技術，利用合法的 HTML5 和 JavaScript 功能。惡意負載通過 HTML 附件或網頁中的編碼字串傳遞。惡意 HTML 程式碼是在目標設備上的瀏覽器內生成的，該目標設備位於受害者網路的安全範圍內。Check Point表示，該活動使用新的交付方法來部署（最引人注目的是 HTML挾帶）PlugX 的新變體，這種植入通常與中國駭客相關。根據Check Point，SmugX活動與中國 APT駭客組織 RedDelta 和 Mustang Panda的活動相互重疊，Check Point 進一步說，儘管這兩者在某種程度上與另一個APT駭客組織 Camaro Dragon 相關，但沒有足夠的證據表明 SmugX活動與 Camaro Dragon 組織有聯繫。

該活動針對歐洲的政府實體，重點是外國和國內政策實體。

駭客使用精心設計的魚叉式網路釣魚消息來誘騙收件人下載 JavaScript 或 ZIP 檔案。打開這些惡意 HTML 文檔，程式碼中嵌入的有效負載將被解碼並保存到 JavaScript blob 中。研究人員注意到，JavaScript 程式碼不是利用 HTML元素，而是動態建立。 惡意程式碼使用 createObjectURL 函數從 blob 建立 URL 對象，並使用所需的檔案名設置下載屬性。然後，惡意程式碼調用點擊操作來模擬用戶點擊鏈接並開始下載檔案。

研究人員注意到，對於較舊的瀏覽器版本，惡意程式使用 msSaveOrOpenBlob 以所需的檔案名保存 blob。

對上傳到 VirusTotal 的活動中使用的檔案的分析顯示，中國 APT 組織試圖針對捷克、匈牙利、斯洛伐克、英國和烏克蘭的外交官和政府實體。誘餌檔案中提到的其他國家包括法國和瑞典。

上傳到 VirusTotal 的誘餌包括：

*這封信來自塞爾維亞駐布達佩斯大使館。

*一份闡述瑞典擔任歐盟理事會主席國的優先事項的文件。

*匈牙利外交部發出的外交會議邀請函。

*一篇關於兩名中國人權律師被判處十多年監禁的文章。

中國APT駭客組織使用了多階段感染過程，該過程依賴於 DLL 側面加載方法來傳遞 PlugX RAT。根據Check Point， “我們在此活動樣本中看到的一個顯著變化是，與我們過去看到的簡單 XOR 解密相比，RC4 加密方法的使用越來越多。加密的配置仍然駐留在數據部分，但它在配置的開頭預先添加了密鑰，而不是像之前的示例那樣放在解密函數中。在我們調查樣本的過程中，駭客發送了一個從 C&C伺服器發送的batch scripts，旨在清除其活動的任何痕跡。這個名為 del_RoboTask Update.bat 的腳本會消除合法的可執行檔案、PlugX 加載程式DLL 以及為持久性而實現的登錄機碼，並最終刪除自身。研究人員指出，該歸因是基於與 RedDelta 或 Mustang Panda 的活動的相似性，包括基礎設施、用於部署 PlugX 的路徑以及受害者學和引誘策略。

SmugX活動的部分入侵指標(Indicator of compromise -IOCs):

edb5d4b454b6c7d3abecd6de7099e05575b8f28bb09dfc364e45ce8c16a34fcd

736451c2593bc1601c52b45c16ad8fd1aec56f868eb3bba333183723dea805af

0e4b81e04ca77762be2afb8bd451abb2ff46d2831028cde1c5d0ec45199f01a1

989ede1df02e4d9620f6caf75a88a11791d156f62fdea4258e12d972df76bc05

10cad59ea2a566597d933b1e8ba929af0b4c7af85481eacaab708ef4ddf6e0ee

6月15日，為了幫助各地的組織了解和抵禦LockBit 勒索軟體，這現為全球最猖獗的威脅及其大量會員(affiliate)，美國網路暨基礎安全局 (CISA)、聯邦調查局 (FBI) 以及包含澳洲、 加拿大、 英國、 德國、 法國和新西蘭等多國網路安全機構共同發布了關於題為Understanding Ransomware Threat Actors: LockBit的聯合網路安全諮詢，該諮詢包括:

*LockBit 使用了大約 30 個免費和開源工具的清單

*超過40個mapping 到MITRE ATT&CK的攻擊戰略、攻擊手法(TTPs)

*觀察到常被利用的CVEs漏洞

*LockBit勒索軟體即服務(RaaS)的演變以及全球趨勢和統計數據

*推薦的資源和緩解措施，以幫助抵禦全球 LockBit 活動

該公告指出，自 2020 年以來，僅在美國就發生了約 1,700 次 LockBit 勒索軟體攻擊，企業和組織為此支付了約 9,100 萬美元的贖金。這些多安全機構警告，LockBit 勒索軟體即服務 (RaaS) 吸引附屬會員(affiliate)使用 LockBit 進行勒索攻擊，導致大量互不關聯的攻擊者進行各種各樣的攻擊。根據Malwarebytes上週分享的統計數據，LockBit 於 2019 年底首次出現，它具有破壞性和多產性，僅在 2023 年 5 月就針對多達 76 名受害者。迄今為止，與俄羅斯有關聯繫的會員稱對至少 1,653 起勒索軟體攻擊負責。網路犯罪行動攻擊了廣泛的關鍵基礎設施部門，包括金融服務、食品和農業、教育、能源、政府和緊急服務、醫療保健、製造和運輸。到目前為止，LockBit 已經進行了三次實質性的升級：LockBit Red（2021 年 6 月）、LockBit Black（2022 年 3 月）和 LockBit Green（2023 年 1 月），其中最後一個的升級是基於已經被解散的 Conti勒索軟體遭外洩的原始碼。

根據該公告，LockBit 用於吸引會員的一些方法包括但不限於，通過允許會員在收到贖金之後再付款；在線上論壇中貶低其他勒索軟體團體；花錢推廣宣傳活動，例如花錢招募人來紋含有 LockBit logo的紋身；推出抓漏獎勵專案等;它還包括為其勒索軟軟體開發和維護一個簡化的點擊式界面，使技術水平較低的人也可以使用它，使LockBit成為是去年全球最熱門活躍的勒索軟體組織。

涉及 LockBit 的攻擊鏈利用，包含最近披露的 Fortra GoAnywhere Managed File Transfer (MFT) 和 PaperCut MF/NG 伺服器中的漏洞以及 Apache Log4j2、F5 BIG-IP 和 BIG-IQ 以及 Fortinet 設備中的其他已知漏洞來獲得初始存取權限。LockBit還使用了三十多個免費軟體和開源工具，允許網路偵察、遠端存取和隧道、憑證轉儲和檔案外洩。該公告補充說，在大多數入侵中都觀察到了 PowerShell 和batch-script的使用，這些入侵側重於系統發現、偵察、密碼/憑證搜索和權限升級，這些入侵被發現進一步濫用合法的紅隊工具，如Metasploit和Cobalt Strike。

該諮詢提出各種預防相關攻擊的緩解措施，包括實施沙盒瀏覽器，要求所有使用密碼登錄的帳戶遵守 NIST 標準以製定和管理密碼策略；在電子郵件網關上實施過濾機制；安裝網路應用防火牆；分段網路；採用最少權限的最佳實踐；強制管理和審核具有管理權限的用戶帳戶；對設置在管理員級別和更高級別的帳戶實施基於時間的存取。它還建議開發並定期更新綜合網路圖；控制和限制網路連接；啟用增強的 PowerShell 日誌記錄；配置 Windows 登錄檔案以要求 UAC批准任何 PsExec 操作；禁用命令行和腳本活動和權限；啟用憑證保護；實施本地管理員密碼解決方案 (LAPS)。

另外，CISA本週發布了一項具有約束力的操作指令 23-02，指示聯邦機構在發現後 14 天內保護暴露在公共互聯網上的防火牆、路由器和交換機等網絡設備，並採取措施最大限度地減少攻擊面。

了解更多關於此資安諮詢: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a

資安研究員觀察到一個中國網路間諜組織利用VMware ESXi零時差漏洞進行權限提升，廣泛使用一系列攻擊者腳本來獲取 vpxuser憑證、枚舉 ESXi 主機及其來賓虛擬機，並操縱連接的 ESXi 主機防火牆規則以竊取數據。

6 月 14 日，資安公司Mandiant 警告稱，一個追踪為 UNC3886 的中國駭客間諜組織被發現利用 VMware ESXi 零時差漏洞來提升客戶虛擬機的權限。UNC3886 最初於 2022 年 9 月詳細介紹，一直在使用惡意 vSphere 安裝服務包(VIB)（通常用於維護系統和部署更新的軟體包）在 ESXi 管理程式上安裝後門並獲得命令執行、檔案操作和反向 shell 功能。該組織的惡意行為會影響 VMware ESXi 主機、vCenter伺服器和Windows 虛擬機 (VM)。

在最近的攻擊中，UNC3886從 vCenter Server 獲取所有連接的 ESXi 主機的憑證，使用 VMCI套接字(一種用於虛擬機通信介面的網路套接字API)部署後門以實現橫向移動和持久性，以及修改和關閉受感染系統上的日誌記錄服務。此外，該組織一直在利用 VMware Tools 中的零時差漏洞繞過身份驗證並在 Windows、Linux 和 PhotonOS (vCenter) 來賓虛擬機上執行特權命令。該漏洞編號為 CVE-2023-20867，具有低嚴重性評級，因為它的利用需要攻擊者擁有對 ESXi 伺服器的root存取權限。VMware 在一份公告中表示，受感染的 ESXi 主機可能會迫使 VMware Tools 無法驗證主機到客戶的操作，從而影響客戶虛擬​​機的機密性和完整性，並在VMware Tools的12.2.5版本中解決了該漏洞，建議用戶進行修補。

根據 Mandiant 的說法，UNC3886 被發現使用腳本通過連接的 vPostgreSQL 數據庫從受感染的 vCenter伺服器獲取憑證，枚舉所有 ESXi 主機及其來賓虛擬機，並修改所有連接的ESXi主機的允許IP清單。

UNC3886組織還使用安裝腳本將惡意安裝服務包(VIB)部署到主機，並利用 CVE-2023-20867 執行命令並將檔案從受感染的 ESXi 主機與來賓 VM 來回傳輸，而無需身份驗證且不留痕跡。

Mandiant進一步說，當從 ESXi 主機執行命令時，利用 CVE-2023-20867 不會在來賓虛擬機上生成身份驗證日誌事件。Mandiant還觀察到該組織使用 VMCI 套接字部署了兩個後門（VirtualPita 和 VirtualGate）以實現橫向移動和持續持久性，以確保他們的惡意活動不被發現。該惡意軟體為攻擊者提供了新級別的持久性（通過存取 VM 重新獲得對受感染 ESXi 主機的存取權限），還允許網路分段繞過和逃避對開放偵聽端口的安全審查。

Mandiant 指出，與 CVE-2023-20867 結合，將重新獲得對 ESXi 主機的存取權限允許攻擊者在該 ESXi 主機下運行的任何虛擬機上使用最高特權帳戶執行未經身份驗證的操作。如果 vCenter 作為 ESXi 主機下的虛擬機存在，攻擊者可以繼續連接到 vCenter 的所有 ESXi 主機獲取所有連接的 vpxuser 憑證，並繼續在環境中橫向移動。Mandiant 補充道，UNC3886以集中攻擊美國和 APJ 地區的國防、政府、電信和技術部門的組織而聞名。他們最喜歡的目標是沒有端點偵測與回應(EDR)功能的防火牆和虛擬化平台中的零時差漏洞，組織必須保持警惕，確保他們不僅在操作系統層監控網路，而且還要繼續修補和維護。

在親俄羅斯駭客組織 Anonymous Sudan 聲稱已開始了一項專門針對美國公司和基礎設施的攻擊活動之後，微軟 Outlook 在週一當掉，造成全球用戶受到影響。

美國東部時間週一上午 10 點左右，總部位於蘇丹的駭客組織 Anonymous Sudan開始在其Telegram 頻道上發布已發動攻擊微軟的消息，大約在同一時間，Outlook 用戶開始在 Twitter 上發布抱怨Outlook.com當掉，這影響了他們的工作效率的消息。從 Anonymous Sudan 分享的 check-host.net URL 來看，他們的目標是“ https://outlook.live.com/mail/0/ ”，這是 Outlook.com 網路服務的主要 URL。當時，約 15,000 名微軟用戶向Downdetector 報告故障事件。

微軟在推特上回覆了預設回覆，“您好。對於由此造成的不便，我們深表歉意。我們已讓相關團隊了解此問題，我們正在努力讓您盡快恢復正常運行。感謝您的耐心等待，”Outlook說。

隨後，微軟證實當掉的不僅是Outlook.com， Microsoft 365與其他服務包含OneDrive for Business、Microsoft Teams、SharePoint Online等也當掉，同時表示正在檢查網路系統與更新活動，以確認造成服務中斷的原因。

Anonymous Sudan為了向其followers提供背景資料，該組織在Telegram中特別提到了美國國務卿安東尼·布林肯 (Antony Blinken)。布林肯上周訪問了沙特阿拉伯，討論處理蘇丹危機的戰略方法。美國國務卿還宣布對蘇丹的多個實體實施經濟制裁，包括蘇丹武裝部隊 (SAF) 和快速支援部隊 (RSF)，以應對最近“對平民住宅和基礎設施的搶劫、佔領和襲擊”。

Anonymous Sudan駭客組織自今年 1 月出現，它擅長對目標進行分散式服務阻斷攻擊 (Distributed Denial of Service -DDoS)，分散式阻斷服務攻擊為DoS (Denial of Service)的延伸，為駭客利用大量偽造且無意義的封包，藉以消耗被攻擊者的網路頻寬與系統資源，導致網路癱瘓，無法提供正常的服務。