it

Web服务器漏洞利用和Mimikatz用于针对亚洲关键基础设施的攻击

发布: (2026年3月9日 GMT+8 15:21)
5 分钟阅读
原文: The Hacker News

Source: The Hacker News

Source: https://unit42.paloaltonetworks.com/cl-unk-1068-targets-critical-sectors/

威胁行为者概览

位于南亚、东南亚和东亚的高价值组织已成为中国威胁行为者多年行动的目标。
该活动涉及航空、能源、政府、执法、制药、技术和电信等行业。Palo Alto Networks Unit 42 将此行动归因于一个此前未记录的组织 CL‑UNK‑1068(其中 “CL” = cluster, “UNK” = unknown motivation),并以 中等至高度置信 评估其主要目标为网络间谍活动。

“我们的分析揭示了一套多面的工具,包括定制恶意软件、修改过的开源实用程序以及活用系统自带二进制文件(LOLBINs)。这些工具为攻击者在目标环境中保持持久存在提供了简便且高效的方式。” – 安全研究员 Tom Fakterman【source】(https://unit42.paloaltonetworks.com/cl-unk-1068-targets-critical-sectors/)

Critical

工具和恶意软件

对手针对 Windows 和 Linux 环境,利用开源工具和恶意软件家族的混合:

  • Godzilla – 网页后门
  • ANTSWORD – 网页后门
  • Xnote – Linux 后门(自 2015 年起被检测到,由 Earth Berberoka / GamblingPuppet 集体使用)
  • Fast Reverse Proxy (FRP) – 持久化工具

TL‑D

Linux 后门

Xnote 已在针对在线赌博网站的攻击中被观察到,为攻击者提供对被入侵 Linux 服务器的长期访问。

Linux

典型攻击链

  1. Web 服务器利用 – 交付 web shell。
  2. 横向移动 – 转向其他主机。
  3. 文件窃取 – 从 c:\inetpub\wwwroot 导出具有特定扩展名(web.config.aspx.asmx.asax.dll)的文件,以获取凭据或发现更多漏洞。

额外收集的数据

  • 浏览器历史记录和书签。
  • 来自桌面和 USER 目录的 XLSX 和 CSV 文件。
  • 来自 MS‑SQL 服务器的数据库备份(.bak)文件。

数据外泄技术

该组织使用 WinRAR 对收集的文件进行归档,然后通过 certutil -encode 使用 Base64 对归档文件进行编码。编码后的输出使用 type 命令显示,使攻击者能够通过 Web Shell 读取数据,而无需上传文件。

“通过将归档文件编码为文本并将其打印到屏幕上,攻击者能够在不实际上传任何文件的情况下进行数据外泄。攻击者可能选择这种方法是因为目标主机上的 shell 允许他们运行命令并查看输出,但不允许直接传输文件。” – Unit 42

凭证窃取工具

对手还使用合法的 Python 可执行文件(python.exepythonw.exe)发起 DLL 侧加载 攻击,实现对恶意 DLL 的隐蔽执行。

附加观察

  • SuperDump,一种自定义的 .NET 侦察工具,自 2020 年起被使用。
  • 最近的入侵依赖批处理脚本收集主机信息并绘制本地环境图。

FS‑Report‑D

“该组织主要使用开源工具、社区共享的恶意软件和批处理脚本,在渗透关键组织的同时成功保持了隐蔽操作,” Unit 42 总结道。

“这一系列活动展示了其在 Windows 和 Linux 环境中均能灵活运作,并针对每个操作系统使用不同版本的工具集。虽然其重点在于从关键基础设施和政府部门窃取凭证和敏感数据,这强烈暗示了间谍动机,但我们仍无法完全排除网络犯罪意图的可能性。”

保持信息灵通

关注我们获取更多独家内容:

  • Google 新闻
  • Twitter
  • LinkedIn
0 浏览
#it #security #cybersecurity
查看原文
Share:
Back to Blog

相关文章

阅读更多 »