中国和俄罗斯的黑客使用SILKLOADER恶意软件来逃避检测

据观察,与中国和俄罗斯网络犯罪生态系统有关的威胁活动集群使用了一种新的恶意软件,该恶意软件旨在将Cobalt Strike加载到受感染的机器上。
芬兰网络安全公司WithSecure将这种恶意软件称为SILKLOADER,它利用DLL侧加载技术来提供商业对手模拟软件。
针对Cobalt Strike(一种用于红队行动的合法后开发工具)的检测能力有所提高,迫使威胁行为者寻求替代方案或设计新方法来传播框架以逃避检测。
WithSecure研究人员表示:“其中最常见的包括通过使用封装器、加密器、加载器或类似技术来增加自动生成信标或stage有效载荷的复杂性。”
SILKLOADER加入了其他装载机,如KoboldLoader、MagnetLoader和LithiumLoader,这些装载机最近被发现采用了Cobalt Strike组件。
它还与lithumloader有重叠之处,都采用DLL侧加载方法来劫持合法应用程序,目的是运行一个单独的恶意动态链接库(DLL)。
SILKLOADER通过专门制作的libvlc.dll文件来实现这一点,该文件与合法但重命名的VLC媒体播放器二进制文件(Charmap.exe)一起放置。
WithSecure的研究员Hassan Nejad说:“Cobalt Strike信标非常有名,在保护良好的机器上检测到它们几乎是可以保证的。”
“然而,通过向文件内容添加额外的复杂性层,并通过VLC Media Player等已知应用程序通过侧加载启动它,攻击者希望避开这些防御机制。”
WithSecure表示,在分析了2022年第四季度针对巴西、法国和台湾各种组织的各种实体的“几次人为入侵”后,他们确定了外壳代码加载器。
尽管这些攻击没有成功,但该活动被怀疑是勒索软件部署的先导,其战术和工具与Play勒索软件运营商的战术和工具“严重重叠”。
在一次针对一家未具名的法国社会福利组织的攻击中,威胁行为者利用一个受损的Fortinet SSL VPN设备来部署Cobalt Strike信标,从而在网络中站稳了脚跟。
“威胁行为者在这个组织中立足了好几个月,”WithSecure说。“在此期间,他们进行了发现和凭证窃取活动,随后部署了多个Cobalt Strike信标。”
但当这种尝试失败时,对手转而使用SILKLOADER绕过检测并交付信标有效载荷。
这还不是全部。另一个被称为BAILLOADER的加载程序,也被用于分发Cobalt Strike信标,最近几个月与涉及量子勒索软件、GootLoader和IcedID木马的攻击有关。
据称,BAILLOADER与代号为Tron的加密程序有相似之处,后者已被不同的对手用于分发Emotet、TrickBot、BazarLoader、IcedID、Conti勒索软件和Cobalt Strike。
这就产生了一种可能性,即不同的威胁行为者正在共享第三方分支机构提供的Cobalt Strike信标、密码器和基础设施,以使用不同的策略为多种入侵提供服务。
换句话说,SILKLOADER很可能通过Packer-as-a-Service项目向俄罗斯的威胁行为者提供现成的装载机。
WithSecure表示:“这个加载程序要么直接提供给勒索软件组织,要么可能通过向可信的附属机构提供Cobalt Strike/基础设施即服务的组织提供。”
“在康迪集团被指关闭后,这些子公司中的大多数似乎都是该集团及其成员和后代的一部分,或与之有密切的工作关系。”
该公司分析的SILKLOADER样本显示,该恶意软件的早期版本可以追溯到2022年初,该装载机专门用于针对中国内地和香港受害者的不同攻击。
据信,攻击目标从东亚转移到巴西和法国等其他国家大约发生在2022年7月,此后所有与silkloader相关的事件都被归咎于俄罗斯网络犯罪分子。
这进一步让位于一种假设,即“SILKLOADER最初是由在中国网络犯罪生态系统中活动的威胁行为者编写的”,并且“至少早在2022年5月至2022年7月,该加载程序就被该联系中的威胁行为者使用了”。
“在2022年7月至2022年9月期间,构建器或源代码后来被俄罗斯网络犯罪生态系统中的威胁行为者收购,”WithSecure表示,并补充说,“中国原作者在不再需要加载器时,将其卖给了俄罗斯威胁行为者。”
SILKLOADER和BAILLOADER都是威胁行为者改进和重组其方法以保持领先于检测曲线的最新例子。
WithSecure的研究人员总结道:“随着网络犯罪生态系统通过服务产品变得越来越模块化,不再可能仅仅通过将攻击与攻击中的特定组件联系起来就将攻击归因于威胁组织。”
声明:本文相关资讯来自thehackernews,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站处理。
posted @ 2023-03-17 16:31  沃通WoTrus  阅读(10)  评论(0编辑  收藏  举报