在六个多月没有活动之后,CN资助的黑客组织重新出现,针对台湾、泰国、菲律宾和斐济的政府、医疗保健、技术和制造实体发起了新的攻击活动。
Trend Micro 将入侵集归因于它跟踪的一个名为 Earth Longzhi 的网络间谍组织,该组织是 APT41(又名 HOODOO 或 Winnti)中的一个子组织,与其他各种集群如 Earth Baku、SparklingGoblin 和 GroupCC 共享重叠。
Earth Longzhi 于 2022 年 11 月首次被网络安全公司记录下来,详细描述了它对位于东亚和东南亚以及乌克兰的各种组织的攻击。
威胁行为者安装的攻击链利用易受攻击的面向公众的应用程序作为部署 BEHINDER web shell 的入口点,然后利用该访问权限投放额外的有效负载,包括名为 CroxLoader 的 Cobalt Strike 加载程序的新变体。
“最近的活动 [...] 滥用 Windows Defender 可执行文件来执行 DLL 侧载,同时还利用易受攻击的驱动程序 zamguard.sys,通过自带易受攻击的驱动程序 (BYOVD) 攻击来禁用安装在主机上的安全产品,” 趋势科技表示。
这绝不是地球龙智第一次利用 BYOVD 技术,之前的活动利用易受攻击的 RTCore64.sys 驱动程序来限制安全产品的执行。
这种名为 SPHijacker 的恶意软件还采用了另一种称为“stack rumbling”的方法来实现相同的目标,即更改 Windows 注册表以中断进程执行流程并故意导致目标应用程序在启动时崩溃。
“这种技术是一种 [拒绝服务] 攻击,它滥用 [Image File Execution Options] 注册表项中未记录的 MinimumStackCommitInBytes 值,”趋势科技解释说。
"IFEO 注册表项中与特定进程关联的 MinimumStackCommitInBytes 的值将用于定义在初始化主线程时要提交的堆栈的最小大小。如果堆栈大小太大,则会触发堆栈溢出异常并终止 目前的流程。”
这两种方法远非可用于破坏安全产品的唯一方法。 上个月,Deep Instinct 详细介绍了一种名为 Dirty Vanity 的新代码注入技术,它利用 Windows 中的远程分叉机制来攻击端点检测系统。
更重要的是,驱动程序有效负载使用 Microsoft 远程过程调用 (RPC) 作为内核级服务安装,而不是使用 Windows API 来逃避检测。
在攻击中还观察到使用名为 Roxwrapper 的基于 DLL 的投放程序来交付另一个标记为 BigpipeLoader 的 Cobalt Strike 加载程序,以及滥用 Windows 任务计划程序以 SYSTEM 权限启动给定负载的权限升级工具 (dwm.exe) .
指定的有效负载 dllhost.exe 是一个下载程序,能够从攻击者控制的服务器中检索下一阶段的恶意软件。
值得在此指出的是,dwm.exe 基于 GitHub 上可用的开源概念验证 (PoC),这表明威胁参与者正在从现有程序中汲取灵感来磨练其恶意软件库。
趋势科技进一步表示,它发现了用越南语和印度尼西亚语编写的诱饵文件,表明未来可能会试图针对这两个国家的用户。
安全研究人员 Ted Lee 和 Hara Hiroaki 指出:“Earth Longzhi 仍然活跃,并继续改进其策略、技术和程序 (TTP)”。 “组织应该对网络犯罪分子不断开发新的隐秘计划保持警惕。”