【安全资讯】研究人员发现利用ICMP后门和Microsoft Exchange漏洞的ToddyCat灵感APT攻击

安恒恒脑 2024-09-04 19:08:15 709人浏览

概要:

卡巴斯基全球应急响应团队(GERT)的网络安全研究人员发现了一起复杂的攻击事件,该攻击涉及ICMP后门,类似于ToddyCat APT组织使用的战术。此次发现是在对客户的域控制器和Exchange服务器进行调查时进行的,攻击者利用了Microsoft Exchange服务器远程代码执行漏洞(CVE-2021-26855)和一个旧的IKEEXT服务漏洞。

主要内容:

卡巴斯基的研究人员在调查客户的域控制器和Exchange服务器时,发现了一个复杂的攻击事件。攻击者利用了Microsoft Exchange服务器远程代码执行漏洞(CVE-2021-26855)和一个旧的IKEEXT服务漏洞来获得初始访问权限并建立持久性。特别值得注意的是,攻击者滥用了Windows系统中的IKEEXT服务,这个服务负责管理Internet密钥交换(IKE)协议。通过在system32目录中植入恶意版本的wlbsctrl.dll库,攻击者确保每次调用IKEEXT服务时,后门程序都会被执行。

攻击者进一步利用IKEEXT服务在受感染网络中进行横向移动。他们通过服务器消息块(SMB)协议建立了一个名为“DLL Surrogate”的自定义防火墙规则,使恶意的dllhost.exe能够监听端口52415,从而在不被检测的情况下横向扩展其在组织基础设施中的立足点。随后,攻击者部署了一个自定义的ICMP后门,允许他们保持对受感染系统的隐蔽访问。这个后门作为加载器,解密并执行存储在Windows注册表中的有效载荷,最终建立一个原始的ICMP套接字进行通信。

卡巴斯基对后门的分析显示,它作为加载器执行了一系列复杂的操作以建立持久性并隐藏其活动。首先,后门检查内存中的特定互斥体,如果互斥体已存在则终止运行以避免多实例同时运行。然后,后门尝试解密存储在Windows目录中的文件,使用AES加密和从C盘卷序列号派生的密钥。解密后的有效载荷存储在Windows注册表中并在内存中执行,确保恶意代码不被基于磁盘的检测工具发现。最后,解密后的有效载荷通过创建一个原始的ICMP套接字来接收和执行攻击者的命令,从而最小化被检测的风险。

尽管归因尚不确定,但此次攻击的战术、技术和程序(TTPs)与之前与ToddyCat APT组织相关的活动高度一致。
APT 恶意代码 勒索软件 数据泄露 IT行业 金融
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。