【安全资讯】研究人员发现利用ICMP后门和Microsoft Exchange漏洞的ToddyCat灵感APT攻击

概要：

卡巴斯基全球应急响应团队（GERT）的网络安全研究人员发现了一起复杂的攻击事件，该攻击涉及ICMP后门，类似于ToddyCat APT组织使用的战术。此次发现是在对客户的域控制器和Exchange服务器进行调查时进行的，攻击者利用了Microsoft Exchange服务器远程代码执行漏洞（CVE-2021-26855）和一个旧的IKEEXT服务漏洞。

主要内容：

卡巴斯基的研究人员在调查客户的域控制器和Exchange服务器时，发现了一个复杂的攻击事件。攻击者利用了Microsoft Exchange服务器远程代码执行漏洞（CVE-2021-26855）和一个旧的IKEEXT服务漏洞来获得初始访问权限并建立持久性。特别值得注意的是，攻击者滥用了Windows系统中的IKEEXT服务，这个服务负责管理Internet密钥交换（IKE）协议。通过在system32目录中植入恶意版本的wlbsctrl.dll库，攻击者确保每次调用IKEEXT服务时，后门程序都会被执行。

攻击者进一步利用IKEEXT服务在受感染网络中进行横向移动。他们通过服务器消息块（SMB）协议建立了一个名为“DLL Surrogate”的自定义防火墙规则，使恶意的dllhost.exe能够监听端口52415，从而在不被检测的情况下横向扩展其在组织基础设施中的立足点。随后，攻击者部署了一个自定义的ICMP后门，允许他们保持对受感染系统的隐蔽访问。这个后门作为加载器，解密并执行存储在Windows注册表中的有效载荷，最终建立一个原始的ICMP套接字进行通信。

卡巴斯基对后门的分析显示，它作为加载器执行了一系列复杂的操作以建立持久性并隐藏其活动。首先，后门检查内存中的特定互斥体，如果互斥体已存在则终止运行以避免多实例同时运行。然后，后门尝试解密存储在Windows目录中的文件，使用AES加密和从C盘卷序列号派生的密钥。解密后的有效载荷存储在Windows注册表中并在内存中执行，确保恶意代码不被基于磁盘的检测工具发现。最后，解密后的有效载荷通过创建一个原始的ICMP套接字来接收和执行攻击者的命令，从而最小化被检测的风险。

尽管归因尚不确定，但此次攻击的战术、技术和程序（TTPs）与之前与ToddyCat APT组织相关的活动高度一致。