網(wǎng)絡(luò)安全研究人員披露了關(guān)于水坑攻擊的細節(jié)，該攻擊利用谷歌瀏覽器和IE瀏覽器的漏洞，部署惡意軟件進行間諜活動。

[[350116]]

這一攻擊使用了SLUB(即SLack和githUB)惡意軟件和兩個新的后門——dneSpy和agfSpy——來竊取系統(tǒng)信息，并獲得對受損機器的額外控制。

據(jù)這家網(wǎng)絡(luò)安全公司說，這些攻擊發(fā)生在3月、5月和9月。

水坑攻擊通過破壞一個精心挑選的網(wǎng)站，插入漏洞，獲得訪問受害者的設(shè)備并讓它感染惡意軟件，從而危及目標(biāo)企業(yè)。

據(jù)稱，“地球Kitsune行動”已將間諜軟件樣本部署在與朝鮮有關(guān)的網(wǎng)站上，盡管來自韓國IP地址的用戶被禁止訪問這些網(wǎng)站。

多樣化的攻擊行為

盡管此前涉及SLUB的操作是利用GitHub存儲平臺將惡意代碼片段下載到Windows系統(tǒng)，并將執(zhí)行結(jié)果發(fā)布到攻擊者控制的私人Slack渠道上，但最新的惡意軟件攻擊的目標(biāo)是Mattermost，一個類似slacko的開源協(xié)作消息傳遞系統(tǒng)。

進行了安全試驗的趨勢科技團隊表示:“這次行動非常多樣化，向受害者機器部署了大量樣本，并在行動中使用了多個命令和控制(C&C)服務(wù)器。”“總的來說，我們發(fā)現(xiàn)該活動使用了5臺C&C服務(wù)器，7個樣本，并利用了4個'N日漏洞'。”

該攻擊者利用一個已經(jīng)修補過的Chrome漏洞(CVE-2019-5782)，通過一個特別制作的HTML頁面，允許攻擊者在沙箱中執(zhí)行任意代碼。

另外，Internet Explorer (CVE-2020-0674)中的一個漏洞也被用來通過被攻擊的網(wǎng)站傳遞惡意軟件。

這次的改變是使用Mattermost服務(wù)器來跟蹤跨多臺受感染計算機的部署，此外還為每臺計算機創(chuàng)建了一個單獨的通道，以從受感染的主機檢索收集的信息。

另外兩個后門dneSpy和agfSpy，前者被設(shè)計用來收集系統(tǒng)信息、捕獲屏幕截圖、下載和執(zhí)行從C&C服務(wù)器接收到的惡意命令，其結(jié)果被壓縮、加密并傳輸?shù)胶诳偷姆?wù)器。

[[350117]]

dneSpy的對等物agfSpy帶有自己的C&C服務(wù)器機制，它使用該機制來獲取shell命令并將執(zhí)行結(jié)果發(fā)送回去。它的主要特性包括枚舉目錄和列表、上傳、下載和執(zhí)行文件的功能。

研究人員總結(jié)道:“地球Kitsune行動是復(fù)雜而多產(chǎn)的，這要歸因于它使用的各種組件并讓它們彼此狼狽為奸。利用新型的攻擊方式和組合套路，避免被系統(tǒng)安全產(chǎn)品規(guī)避。”

從瀏覽器的開發(fā)shell代碼到agfSpy，這些元素都是自定義編碼。這個組織今年非?；钴S，安全團隊預(yù)測他們將在下一段時間內(nèi)，還會繼續(xù)有騷操作。”