详细内容或原文请订阅后点击阅览
2023 年第三季度 IT 威胁演变
针对南非关键基础设施目标的攻击、针对 Linux 机器的供应链攻击、用于针对中国人的 Telegram 分身。
来源:Securelist _恶意软件报告有针对性的攻击
未知威胁行为者利用 DroxiDat 和 Cobalt Strike 攻击发电机
今年早些时候,我们报道了 SystemBC 的一种新变种 DroxiDat,该变种针对南非的一个关键基础设施目标进行了部署。此代理后门与 Cobalt Strike 信标一起部署。
DroxiDat该事件发生在 3 月的第三和第四周,是全球范围内涉及 DroxiDat 和 Cobalt Strike 信标的一小波攻击的一部分;我们认为这起事件可能是勒索软件攻击的初始阶段。
DroxiDat 是 SystemBC 的一个精简变种,可充当系统分析器和简单的 SOCKS5 功能机器人,在一家电力公司被发现。该事件的 C2(命令和控制)基础设施涉及一个与能源相关的域名“powersupportplan[.]com”,该域名解析为一个可疑的 IP 主机。该主机几年前曾被用作 APT 活动的一部分,因此这可能是与 APT 相关的针对性攻击,尽管我们无法建立与之前 APT 的联系,并且它可能无关。
没有勒索软件被传送到该组织,我们没有足够的信息来准确归因于此活动。然而,在大约同一时间涉及 DroxiDat 的医疗保健相关事件中,Nokoyawa 勒索软件被传送,以及其他几起涉及 Cobalt Strike 的事件,它们共享相同的许可证 ID、暂存目录和/或 C2。
利用 CVE-2023-23397 漏洞的样本分析
已报告即使在 Microsoft 发布针对该漏洞的补丁后,似乎仍可以通过伪造特定格式的恶意 UNC 路径在客户端轻松绕过已实施的修复。此功能绕过漏洞 (CVE-2023-29324) 本身已于 5 月修补。
漏洞补丁 利用 CVE-2023-23397 漏洞的初始攻击样本全面分析