UNC1945:采用逃避檢測技術,利用多種操作系統的漏洞發起攻擊
FireEye的研究人員報告說,在過去兩年的時間里,一直觀察到一個復雜的威脅因素,即UNC1945,針對Oracle Solaris操作系統。
FireEye將用于跟蹤組的代號“UNC”用于未分類的組。
據專家稱,攻擊者還利用Oracle Solaris中最近解決的零日漏洞(CVE2020-14871)進行了攻擊。
UNC1945小組針對電信公司進行了攻擊,并利用第三方網絡針對特定的金融和專業咨詢行業。
“UNC1945針對Oracle Solaris操作系統,利用了針對Windows和Linux操作系統的多種工具和實用程序,加載并運行了定制虛擬機,并采用了逃避檢測的技術。” 閱讀FireEye發布的報告。“ UNC1945展示了對多種操作系統的漏洞利用,工具和惡意軟件的訪問權限,對覆蓋或操縱其活動的嚴格興趣,并在交互操作過程中展示了先進的技術能力。”
在2018年末,UNC1945組被發現破壞了一個Solaris服務器,該服務器的SSH服務暴露于互聯網,從而安裝了名為SLAPSTICK的后門并竊取憑據以用于以后的攻擊。
519之后,在2020年中,研究人員觀察到另一臺Solaris服務器正在連接到先前與攻擊者相關的基礎架構。在這種情況下,攻擊者部署了名為EVILSUN的遠程利用工具,旨在利用Solaris 9服務器中的零日漏洞CVE-2020-14871。
FireEye / Mandiant向Oracle報告了CVE-2020-14871,這家IT巨頭通過2020年10月的重要補丁更新發布了此解決方案。CVE-2020-14871漏洞影響Solaris可插拔身份驗證模塊(PAM),并且可以允許具有網絡訪問權限的未經身份驗證的攻擊者破壞操作系統。
2020年4月,來自Mandiant的研究人員還在地下市場上發現了“ Oracle Solaris SSHD遠程根漏洞攻擊”的可用性。EVILSUN識別的漏洞利用程序的價格約為3,000美元。
“根據2020年4月在黑市網站上的帖子,“ Oracle Solaris SSHD遠程根漏洞利用”的價格約為3,000美元,可以通過EVILSUN識別出來。” 讀取Mandiant發布的分析。
“此外,我們確認暴露于Internet的Solaris服務器存在嚴重漏洞,其中包括無需身份驗證即可進行遠程利用的可能性。”
威脅參與者使用Solaris Pluggable Authentication Module SLAPSTICK后門在Solaris 9服務器上建立了立足點。
一旦建立后門,威脅參與者就將定制的Linux后門LEMONSTICK放置在工作站上,以實現命令執行,連接隧道以及文件傳輸和執行。
UNC1945使用SSH端口轉發機制獲得并維持了對其外部基礎架構的訪問權,UNC1945使用SSH端口轉發機制維護訪問,專家觀察到該小組在多個主機上刪除了自定義QEMU VM,并使用“ start.sh”腳本在任何Linux系統中執行了該腳本。
該腳本包含TCP轉發設置,而VM預先加載了多種黑客工具,包括利用后的應用程序,網絡掃描程序,漏洞利用和偵察工具。預加載的工具列表包括Mimikatz,Powersploit,Responder,Procdump,CrackMapExec,PoshC2,Medusa和JBoss Vulnerability Scanner。
為了逃避檢測,威脅執行者將工具和輸出文件放置在存儲在易失性內存中的臨時文件系統安裝點中。UNC1945還使用內置的實用程序和公用工具來修改時間戳記并有選擇地操縱Unix日志文件。
攻擊者還收集了憑據,升級的特權,并通過多個網絡橫向移動。
“ UNC1945使用ProxyChains下載了PUPYRAT,PUPYRAT是一種開放源代碼,跨平臺的多功能遠程管理和后期開發工具,主要用Python編寫。” 繼續報告。
“在一個目標上,威脅參與者使用虛擬機來啟動針對Linux和HP-UX端點的SSH暴力。從看似隨機的用戶名開始,然后轉移到合法的Linux和Windows帳戶,威脅參與者成功地在Linux端點上建立了SSH連接。在成功升級HP-UX端點和Linux端點上的特權后,UNC1945安裝了三個后門:SLAPSTICK,TINYSHELL和OKSOLO。”
攻擊者還使用 BlueKeep 掃描工具將Windows系統作為目標。
專家注意到,在觀察到的攻擊中,黑客沒有從受害者那里竊取任何數據,在一種情況下,他們部署了ROLLCOAST勒索軟件。
“ 1945年的UNC1開展這項活動的容易程度和廣度表明,一個精干而執著的行為者很樂于利用各種操作系統,并可以使用資源和眾多工具集。” 研究人員得出結論。“鑒于上述因素,零日漏洞利用和虛擬機的使用以及遍歷多個第三方網絡的能力,Mandiant期望這位有動機的威脅參與者繼續針對關鍵行業開展針對性的行動。”
