江苏龙网

  1. 首页 > 人文 > >

360重磅揭秘:被低估的混乱军团——全新APT组织WellMess“魔鼠”( 二 )


最早于2017年12月 , WellMess组织便针对某机构的服务器进行了网络渗透攻击 。 直到2019年8月-2019年9月期间 , WellMess组织又将重点攻击目标转向为某网络基础服务提供商 , 该公司的产品是各机构广泛使用的网络基础服务系统 。在攻击影响分析上 , 我们可以从对该组织的技战术攻击过程中 , 窥知一二 。
通过借鉴ATT&CK , 360安全大脑将WellMsess的攻击技战术过程 , 分为如下三个阶段:
360重磅揭秘:被低估的混乱军团——全新APT组织WellMess“魔鼠”
本文插图
l 供应链入侵阶段
该组织通过架设恶意VPN服务器的方式进行钓鱼攻击 , 用社会工程学的方式诱导目标连接恶意VPN服务器 , 达到远程植入木马后门的效果 。
l 边界入侵阶段
该组织对多个目标实施了网络攻击 , 部分攻击是通过安全漏洞入侵目标网络的服务器 , 同时疑似通过失陷供应商的信任关系 , 获取账户密码接入目标网络边界服务(如VPN、邮件服务等) 。
l 内网后渗透阶段
该组织在攻陷目标机器之后 , 会安装专属的后门程序 , 控制目标机器进行信息搜集和横向移动 , 同时为了行动的方便也会建立代理跳板隧道方便内网渗透 。
而从“供应链入侵”到“边界入侵”再到“内网后渗透” , 狡黠的WellMsess组织 , 采取“迂回”作战之术 , 并以“环环相扣”联动之姿 , 进行了长期的潜伏渗透 。 然而 , 上文我们已经讲到 , WellMsess组织供应链攻击的重点目标为某网络基础服务提供商公司 , 而其产品又是各机构广泛使用的网络基础服务系统 。由此可见 , 我们所将承受的攻击影响 , 将是“攻破一点 , 伤及一片”的“毁灭级”杀伤力 , 整个国家网络系统或许都处于最危险的边缘之境 。
【三问】关于WellMess组织的具体攻击行为分析?
Part 1:供应链攻击行为分析
【360重磅揭秘:被低估的混乱军团——全新APT组织WellMess“魔鼠”】承接上文 , 如此神秘又强大的攻击组织 , 如此“低调又能制造混乱”的军团 , 如此“牵一发如动全身”的供应链攻击 , 其具体又是如何操作的呢?根据360安全大脑提供的报告显示:
某流行VPN产品的客户端升级程序存在安全漏洞 , 攻击者通过架设恶意的VPN服务器 , 通过社会工程学方式诱使该公司产品技术人员登陆 , 当技术人员使用存在漏洞的VPN 客户端连接恶意的VPN服务器时 , 将自动下载恶意的更新包并执行 。 攻击者下发的恶意程序是该组织的专属下载者程序WellMess_Downloader , 下载并植入的最终的后门是WellMess_Botlib 。
整体攻击流程 , 如下图所示:
360重磅揭秘:被低估的混乱军团——全新APT组织WellMess“魔鼠”
本文插图
(关于上文提到的某VPN厂商VPN客户端漏洞:该漏洞被利用时为在野0day漏洞状态 , 由360安全大脑捕获并报告给该厂商 , 双方确认漏洞编号(SRC-2020-281)并跟进处理 。 )
Part 2:服务器渗透攻击行为分析
然而 , 除上述利用VPN客户端漏洞 , 发起供应链攻击外 , 在早期WellMess组织还针对目标服务器 , 发起了针对性的网络渗透 。 其具体攻击行为如下:
WellMess组织会先通过对公网服务器攻击 , 取得一定权限 , 下发并启动wellmess专用后门 , 用于维持shell权限 , 后门会定时反向连接C&C , 通过远程控制命令完成收集信息、内网横向移动、设置内网端口转发等操作 。 而且由于服务器很少重启 , 所以该组织自身并没有内置设计持久化功能 。 攻击流程图如下:
360重磅揭秘:被低估的混乱军团——全新APT组织WellMess“魔鼠”
本文插图
值得注意的是 , 在服务器攻击中 , WellMess组织用到了后门组件(包括GO类型后门和.Net类型后门)、持久化组件、第三方工具等攻击组件 。


推荐阅读


上一篇:“黑车”司机将辅警顶在引擎盖上加速逃逸,获刑9个月

下一篇:打野|王者荣耀制裁系统:读懂他妈妈再也不会担心我封号了