UNC1945:采用逃避检测技术,利用多种操作系统的漏洞发起攻击
FireEye的研究人员报告说,在过去两年的时间里,一直观察到一个复杂的威胁因素,即UNC1945,针对Oracle Solaris操作系统。
FireEye将用于跟踪组的代号“UNC”用于未分类的组。
据专家称,攻击者还利用Oracle Solaris中最近解决的零日漏洞(CVE2020-14871)进行了攻击。
UNC1945小组针对电信公司进行了攻击,并利用第三方网络针对特定的金融和专业咨询行业。
“UNC1945针对Oracle Solaris操作系统,利用了针对Windows和Linux操作系统的多种工具和实用程序,加载并运行了定制虚拟机,并采用了逃避检测的技术。” 阅读FireEye发布的报告。“ UNC1945展示了对多种操作系统的漏洞利用,工具和恶意软件的访问权限,对覆盖或操纵其活动的严格兴趣,并在交互操作过程中展示了先进的技术能力。”
在2018年末,UNC1945组被发现破坏了一个Solaris服务器,该服务器的SSH服务暴露于互联网,从而安装了名为SLAPSTICK的后门并窃取凭据以用于以后的攻击。
519之后,在2020年中,研究人员观察到另一台Solaris服务器正在连接到先前与攻击者相关的基础架构。在这种情况下,攻击者部署了名为EVILSUN的远程利用工具,旨在利用Solaris 9服务器中的零日漏洞CVE-2020-14871。
FireEye / Mandiant向Oracle报告了CVE-2020-14871,这家IT巨头通过2020年10月的重要补丁更新发布了此解决方案。CVE-2020-14871漏洞影响Solaris可插拔身份验证模块(PAM),并且可以允许具有网络访问权限的未经身份验证的攻击者破坏操作系统。
2020年4月,来自Mandiant的研究人员还在地下市场上发现了“ Oracle Solaris SSHD远程根漏洞攻击”的可用性。EVILSUN识别的漏洞利用程序的价格约为3,000美元。
“根据2020年4月在黑市网站上的帖子,“ Oracle Solaris SSHD远程根漏洞利用”的价格约为3,000美元,可以通过EVILSUN识别出来。” 读取Mandiant发布的分析。
“此外,我们确认暴露于Internet的Solaris服务器存在严重漏洞,其中包括无需身份验证即可进行远程利用的可能性。”
威胁参与者使用Solaris Pluggable Authentication Module SLAPSTICK后门在Solaris 9服务器上建立了立足点。
一旦建立后门,威胁参与者就将定制的Linux后门LEMONSTICK放置在工作站上,以实现命令执行,连接隧道以及文件传输和执行。
UNC1945使用SSH端口转发机制获得并维持了对其外部基础架构的访问权,UNC1945使用SSH端口转发机制维护访问,专家观察到该小组在多个主机上删除了自定义QEMU VM,并使用“ start.sh”脚本在任何Linux系统中执行了该脚本。
该脚本包含TCP转发设置,而VM预先加载了多种黑客工具,包括利用后的应用程序,网络扫描程序,漏洞利用和侦察工具。预加载的工具列表包括Mimikatz,Powersploit,Responder,Procdump,CrackMapExec,PoshC2,Medusa和JBoss Vulnerability Scanner。
为了逃避检测,威胁执行者将工具和输出文件放置在存储在易失性内存中的临时文件系统安装点中。UNC1945还使用内置的实用程序和公用工具来修改时间戳记并有选择地操纵Unix日志文件。
攻击者还收集了凭据,升级的特权,并通过多个网络横向移动。
“ UNC1945使用ProxyChains下载了PUPYRAT,PUPYRAT是一种开放源代码,跨平台的多功能远程管理和后期开发工具,主要用Python编写。” 继续报告。
“在一个目标上,威胁参与者使用虚拟机来启动针对Linux和HP-UX端点的SSH暴力。从看似随机的用户名开始,然后转移到合法的Linux和Windows帐户,威胁参与者成功地在Linux端点上建立了SSH连接。在成功升级HP-UX端点和Linux端点上的特权后,UNC1945安装了三个后门:SLAPSTICK,TINYSHELL和OKSOLO。”
攻击者还使用 BlueKeep 扫描工具将Windows系统作为目标。
专家注意到,在观察到的攻击中,黑客没有从受害者那里窃取任何数据,在一种情况下,他们部署了ROLLCOAST勒索软件。
“ 1945年的UNC1开展这项活动的容易程度和广度表明,一个精干而执着的行为者很乐于利用各种操作系统,并可以使用资源和众多工具集。” 研究人员得出结论。“鉴于上述因素,零日漏洞利用和虚拟机的使用以及遍历多个第三方网络的能力,Mandiant期望这位有动机的威胁参与者继续针对关键行业开展针对性的行动。”
