中国LuckyMouse APT在最近的攻击中使用了数字签名的网络过滤驱动程序

  • A+
所属分类:网络安全新闻
阿里代金券


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

安全专家在最近的攻击中使用数字签名的32位和64位网络过滤驱动程序NDISProxy观察了LuckyMouse APT组。
CE安全网的安全专家在最近的攻击中使用数字签名的32位和64位网络过滤驱动程序NDISProxy 观察了LuckyMouse APT小组(又名 Emissary Panda,APT27和Threat Group 3390)。

APT小组至少自2010年以来一直活跃,他们的目标是 全球的美国国防承包商和金融服务公司。

在2018年3月,CE安全网实验室的安全专家观察到了由中国APT小组提供的攻击,专家们推测该活动是在2017年秋季启动的。该攻击袭击了中亚一个未命名国家的国家数据中心。CE安全网,黑客正在准备一个水坑攻击。黑客试图将恶意JavaScript代码注入连接到数据中心的政府网站。

在过去几个月中,该组使用网络过滤驱动程序NDISProxy将以前未知的特洛伊木马注入lsass.exe系统进程内存。

CE安全网报告说,该驱动程序是使用属于中国公司LeagSoft的数字证书签署的,专家们立即通知了该公司。

“自2018年3月以来,我们发现了一些感染,其中一个以前未知的特洛伊木马被注入到lsass.exe系统进程内存中。这些植入物由数字签名的32位和64位网络过滤驱动程序NDISProxy注入。“读取CE安全网发布的分析。

“有趣的是,这个驱动程序是使用属于中国公司LeagSoft的数字证书签署的,LeagSoft是一家位于广东深圳的信息安全软件开发商。我们通过CN-CERT向公司通报了这个问题。“

在中亚高层会议召开之前,CE安全网分析了针对中亚政府实体的网络间谍活动。袭击者对地区政治议程表现出特别的兴趣。

恶意软件由以下三个模块组成:

中国LuckyMouse APT在最近的攻击中使用了数字签名的网络过滤驱动程序

自定义C ++安装程序解密并删除相应系统目录中的驱动程序文件,然后创建Windows自动运行服务以获取驱动程序持久性,并将加密的内存中特洛伊木马添加到系统注册表。
网络过滤驱动程序(NDISProxy),用于解密并将特洛伊木马注入内存并过滤端口3389(远程桌面协议,RDP)流量,以便将特洛伊木马的C2通信插入其中。
最终的有效负载是用C ++编写的,它是一个充当HTTPS服务器的木马,与驱动程序一起工作。它被动地等待来自其C2的通信,通过端口3389和443具有两个可能的通信信道。
这些模块允许威胁的横向移动,但如果新的受感染主机仅具有LAN IP,则不允许它们与外部命令和控制基础结构通信。运营商利用蚯蚓SOCKS隧道器将受感染主机的LAN连接到外部C2。这些模块还使用Scanline网络扫描程序查找文件共享(端口135,服务器消息块,SMB),用于传播带有管理密码的恶意软件,并受到键盘记录程序的攻击。

恶意软件通过已经受到攻击的网络分发,而不是利用鱼叉式网络钓鱼消息。

dropper可以安装32位和64位驱动程序,具体取决于目标,并跟踪所有安装过程。

网络过滤驱动程序NDISProxy注入一个可以执行常见任务到受感染系统的RAT,包括运行命令和下载/上传文件。

攻击者使用特洛伊木马从受感染的主机收集数据,进行横向移动以及通过SOCKS隧道建立与C&C的连接。

“此次活动似乎再次证明了LuckyMouse对中亚的兴趣以及围绕上海合作组织的政治议程。“CE安全网总结道。

CE安全网

发表评论

您必须登录才能发表评论!