黑客利用浏览器漏洞在目标计算机上安装2个新后门

网络安全研究人员披露了一项针对韩国侨民的新的Watering Hole攻击的细节，该攻击利用谷歌Chrome和Internet Explorer等浏览器的漏洞，部署恶意软件进行间谍活动。

Trend Micro称其为“Operation Earth Kitsune”，该活动包括使用SLUB（用于SLack和githUB）恶意软件和两个新的后门（dneSpy和agfSpy）来过滤系统信息并获得对受损机器的额外控制。

网络安全公司称，这些攻击发生在3月、5月和9月。

Watering Hole允许攻击者通过插入漏洞攻击（意图访问受害者的设备并用恶意软件感染）来危害精心选择的网站，从而危害目标企业。

据说，“Earth Kitsune”行动已经在与朝鲜有关的网站上部署了间谍软件样本，但是，这些网站的访问被阻止，因为这些网站是来自韩国IP地址的用户。

多元化的运动

尽管此前涉及SLUB的操作是利用GitHub存储平台将恶意代码片段下载到Windows系统，并将执行结果发布到攻击者控制的私人Slack渠道上，但最新的恶意软件攻击的目标是Mattermost，一个类似slacko的开源协作消息传递系统。

Trend Micro表示：“这次行动非常多样化，他们在受害者机器上部署了大量样本，并使用了多个命令和控制（C&C）服务器。”“总的来说，我们发现该活动使用了5台C&C服务器，7个样本，并利用了4个N-day的漏洞。”

攻击者利用一个已经修补过的Chrome漏洞（CVE-2019-5782），通过一个特别制作的HTML页面，在沙箱中执行任意代码。

另外，Internet Explorer中的一个漏洞 （CVE-2020-0674）也被用来通过被攻击的网站传递恶意软件。

dneSpy和agfSpy-全功能间谍后门

尽管他们的感染媒介不同，但利用链的步骤相同——启动与C&C服务器的连接，接收dropper，然后检查目标系统上是否存在反恶意软件解决方案，之后继续下载三个后门示例（以“.jpg”格式）并执行它们。

这次的改变是使用Mattermost服务器跟踪多台受感染机器的部署情况，此外还为每台机器创建一个单独的通道，从受感染主机检索收集的信息。

在其他两个后门dneSpy和agfSpy中，前者被设计成收集系统信息、截图、下载并执行从C&C服务器接收到的恶意命令，这些命令的结果被压缩、加密并过滤到服务器上。

“dneSpy一个有趣的方面是它的 C&C pivoting行为，”Trend Micro的研究人员说，“中央C&C服务器的响应实际上是下一级C&C服务器的域/IP，dneSpy必须与该域/IP进行通信才能接收进一步的指令。”

与dneSpy相对应的agfSpy自带自己的C&C服务器机制，用于获取shell命令并返回执行结果。它的主要特性包括枚举目录和列表、上载、下载和执行文件的功能。

研究人员得出结论：“Earth Kitsune”使用新样本来避免被安全工具发现。

“从Chrome exploit shellcode到agfSpy，操作中的元素都是自定义编码的，这表明操作背后有一个组织。这个组织今年似乎非常活跃，我们预测他们将继续朝这个方向发展一段时间。”

消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/