编译:袁钰涵
前段时间,威逼剖析小组发现了一个流动组织,通过几个月的致力,确认该组织会针对在不同的公司和组织中从事破绽钻研和开发的平安钻研人员进行攻打。
这个组织的参与者是位于朝鲜的政府派,在过来一段时间中,他们采取了多种手段来锁定钻研人员并发动攻打。
后文是编译内容,将讲述他们用了什么办法来锁定钻研人员。
心愿这篇文章能揭示平安钻研界的敌人,现在他们成为了这群朝鲜政府反对派的攻打指标,而没有和这群人接触过的人,日后须要保持警惕。
如何分割钻研人员?
为了与平安钻研人员取得分割并骗取他们信赖,该组织建设了一个钻研博客以及多个 Twitter 账号,借用以上两者与潜在指标进行互动。
他们用这些 Twitter 账号公布指向博客的链接,同时宣称博客中有人发现了破绽并对破绽以利用,做出了一个个应用破绽攻打网站的视频,用多个账号转发视频扩充其影响力,还在其余用户的帖子下公布这类内容。
这个组织所领有的 Twitter 账号
组织建设的博客中蕴含了已公开披露的破绽文章和剖析,还有一些平安钻研人员的“来宾”帖子,而这些钻研人员对此却齐全不知情,组织如此做可能是为了在平安钻研人员中取得更高的信任度。
组织对公开披露的破绽进行剖析的示例。
只管咱们无奈验证他们公布的所有破绽的真实性与工作状态,但在组织宣称他们发现了无效破绽并使之运行时,咱们能够晓得他们所说是假。
2021 年 1 月 14 日,组织管制的账号通过 Twitter 分享了他们的 YouTube 视频,视频宣称能够利用 CVE-2021-1647(一个最近修复的 Windows Defender 破绽)让它产生 cmd.exe shell,人们仔细观看视频后确认这是一个虚伪破绽。
YouTube 上也有多条评论示意该视频是虚伪伪造视频,基本没有可利用的破绽。
但组织不顾 You Tube 上的评论,用他们所领有的其余 Twitter 帐号转发原帖,并评论“不是混充视频”。
组织对多个账号的“利用”
如何锁定平安研究员?
这个组织对平安钻研人员建设最后的分割后,他们会询问钻研人员是否心愿在破绽钻研方面进行单干,而后为钻研人员提供 Visual Studio 我的项目。
Visual Studio 我的项目中蕴含利用此破绽的源代码,以及将通过 Visual Studio 生成事件并执行的其余 DLL。
DLL 是一个恶意软件,它会与组织管制的 C2 域进行通信,下图显示了 VS Build Event 的示例。
生成 VS Project 文件时执行的 Visual Studio 命令
除了通过骗取信任取得单干等一系列口头锁定攻打指标,有时该组织会间接在平安钻研人员拜访其博客后马上攻打。
钻研人员通过 Twitter 链接传送到 blog.br0vvnn [.] io 托管的文章不久后,会发现零碎被装置了歹意服务,零碎中的货色会被传送到组织管制的服务器中。
在拜访组织的博客时,受益零碎(victim systems)会运行起全面修补后的 Windows 10 和最新的 Chrome 浏览器。
目前,咱们无奈确定其机制,欢送其余敌人提供相干信息。
如若发现了 Chrome 破绽(包含在野外(ITW)被利用的破绽)能够通过以下形式取得处分收入 Chrome 的破绽处分打算。咱们激励发现 Chrome 破绽的敌人通过 Chrome VRP 进行报告。
这个组织已应用多个平台与潜在指标进行分割,这些平台包含了 Twitter,LinkedIn,Telegram,Discord,Keybase 和电子邮件。
咱们在上面提供已知的组织帐户和别名,如果您已与这些帐户中的任何一个进行了交换,或间接拜访了他们的博客,建议您查看其博客的时候应用上面提供的 IOC 零碎。
迄今为止,咱们仅看到该组织通过 Windows 零碎进行流动。
如果您放心本人会成为指标,咱们建议您应用独自的物理机或虚拟机来进行钻研流动。
这样在进行惯例的网络浏览,以及与社区中的其他人进行交互时,承受的第三方的文件不会影响您的平安钻研。
组织管制的网站和帐户
钻研博客
https://blog.br0vvnn[.]io
Twitter 帐户
- https://twitter.com/br0vvnn
- https://twitter.com/BrownSec3…
- https://twitter.com/dev0exp
- https://twitter.com/djokovic808
- https://twitter.com/henya290
- https://twitter.com/james0x40
- https://twitter.com/m5t0r
- https://twitter.com/mvp4p3r
- https://twitter.com/tjrim91
- https://twitter.com/z0x55g
LinkedIn 帐户
- https://www.linkedin.com/in/b…
- https://www.linkedin.com/in/g…
- https://www.linkedin.com/in/h…
- https://www.linkedin.com/in/l…
- https://www.linkedin.com/in/r…
Keybase
https://keybase.io/zhangguo
电报
https://t.me/james50d
Hashes 样本
- https://www.virustotal.com/gu… (VS Project DLL)
- https://www.virustotal.com/gu… (VS Project DLL)
- https://www.virustotal.com/gu… (VS Project Dropped DLL)
- https://www.virustotal.com/gu… (VS Project Dropped DLL)
- https://www.virustotal.com/gu… (Service DLL)
攻击者领有的 C2 域
- angeldonationblog[.]com
- codevexillium[.]org
- investbooking[.]de
- krakenfolio[.]com
- opsonew3org[.]sg
- transferwiser[.]io
- transplugin[.]io
非法但会受到侵害的 C2 域
- trophylab[.]com
- www.colasprint[.]com
- www.dronerc[.]it
- www.edujikim[.]com
- www.fabioluciani[.]com
C2 网址
- https[:]//angeldonationblog[.]com/image/upload/upload.php
- https[:]//codevexillium[.]org/image/download/download.asp
- https[:]//investbooking[.]de/upload/upload.asp
- https[:]//transplugin[.]io/upload/upload.asp
- https[:]//www.dronerc[.]it/forum/uploads/index.php
- https[:]//www.dronerc[.]it/shop_testbr/Core/upload.php
- https[:]//www.dronerc[.]it/shop_testbr/upload/upload.php
- https[:]//www.edujikim[.]com/intro/blue/insert.asp
- https[:]//www.fabioluciani[.]com/es/include/include.asp
- http[:]//trophylab[.]com/notice/images/renewal/upload.asp
- http[:]//www.colasprint[.]com/_vti_log/upload.asp
主机 IOC
Registry Keys
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionKernelConfig
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionDriverConfig
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunSSL Update
文件门路
- C:WindowsSystem32Nwsapagent.sys
- C:WindowsSystem32helpsvc.sys
- C:ProgramDataUSOShareduso.bin
- C:ProgramDataVMwarevmnat-update.bin
- C:ProgramDataVirtualBoxupdate.bin