作者:23pds & Thinking;來源:慢霧科技
自 2024 年 6 月以來,慢霧安全團隊陸續收到多家團隊的邀請,對多起黑客攻擊事件展開取證調查。經過前期的積累以及對過去 30 天的深入分析調查,我們完成了對黑客攻擊手法和入侵路徑的復盤。結果表明,這是一場針對加密貨幣交易所的國家級 APT 攻擊。通過取證分析與關聯追蹤,我們確認攻擊者正是 Lazarus Group。
在獲取相關 IOC(入侵指標)和 TTP(戰術、技術與程序)后,我們第一時間將該情報同步給合作伙伴。同時,我們還發現其他合作伙伴也遭遇了相同的攻擊方式和入侵手法。不過,相較之下他們較為幸運 —— 黑客在入侵過程中觸發了部分安全告警,在安全團隊的及時響應下,攻擊被成功阻斷。
鑒于近期針對加密貨幣交易所的 APT 攻擊持續發生,形勢愈發嚴峻,我們在與相關方溝通后,決定對攻擊的 IOC 和 TTP 進行脫敏處理并公開發布,以便社區伙伴能夠及時防御和自查。同時,受保密協議限制,我們無法披露過多合作伙伴的具體信息。接下來,我們將重點分享攻擊的 IOC 和 TTP。
攻擊者域名:
gossipsnare[.]com, 51.38.145.49:443
showmanroast[.]com, 213.252.232.171:443
getstockprice[.]info, 131.226.2.120:443
eclairdomain[.]com, 37.120.247.180:443
replaydreary[.]com, 88.119.175.208:443
coreladao[.]com
cdn.clubinfo[.]io
攻擊者 IP:
193.233.171[.]58
193.233.85[.]234
208.95.112[.]1
204.79.197[.]203
23.195.153[.]175
攻擊者的 GitHub 用戶名:
https://github.com/mariaauijj
https://github.com/patriciauiokv
https://github.com/lauraengmp
攻擊者的社交賬號:
Telegram: @tanzimahmed88
后門程序名稱:
StockInvestSimulator-main.zip
MonteCarloStockInvestSimulator-main.zip
類似 …StockInvestSimulator-main.zip 等
真實的項目代碼:
?(https://github.com/cristianleoo/montecarlo-portfolio-management)
攻擊者更改后的虛假項目代碼:
對比后會發現,data 目錄多了一個 data_fetcher.py 文件,其中包含一個奇怪的 Loader:
攻擊者利用 pyyaml 進行 RCE(遠程代碼執行),實現惡意代碼下發,從而控制目標電腦和服務器。這種方式繞過了絕大多數殺毒軟件的查殺。在與合作伙伴同步情報后,我們又獲取了多個類似的惡意樣本。
關鍵技術分析參考:https://github.com/yaml/pyyaml/wiki/PyYAML-yaml.load(input)-Deprecation#how-to-disable-the-warning
慢霧安全團隊通過對樣本的深入分析,成功復現了攻擊者利用 pyyaml 進行 RCE(遠程代碼執行)的攻擊手法。
目標和動機
目標:攻擊者的主要目標是通過入侵加密貨幣交易所的基礎設施,獲取對錢包的控制權,進而非法轉移錢包中的大量加密資產。
動機:試圖竊取高價值的加密貨幣資產。
技術手段
1. 初始入侵
攻擊者利用社會工程學手段,誘騙員工在本地設備或 Docker 內執行看似正常的代碼。
在本次調查中,我們發現攻擊者使用的惡意軟件包括 `StockInvestSimulator-main.zip` 和 `MonteCarloStockInvestSimulator-main.zip`。這些文件偽裝成合法的 Python 項目,但實則是遠程控制木馬,并且攻擊者利用 pyyaml 進行 RCE,作為惡意代碼的下發和執行手段,繞過了大多數殺毒軟件的檢測。
2. 權限提升
攻擊者通過惡意軟件成功獲取員工設備的本地控制權限,并且誘騙員工將 docker-compose.yaml 中的 privileged 設置為 true。
攻擊者利用 privileged 設置為 true 的條件進一步提升了權限,從而完全控制了目標設備。
3. 內部偵察和橫向移動
攻擊者利用被入侵的員工電腦對內網進行掃描。
隨后,攻擊者利用內網的服務和應用漏洞,進一步入侵企業內部服務器。
攻擊者竊取了關鍵服務器的 SSH 密鑰,并利用服務器之間的白名單信任關系,實現橫向移動至錢包服務器。
4. 加密資產轉移
攻擊者成功獲得錢包控制權后,將大量加密資產非法轉移至其控制的錢包地址。
5. 隱藏痕跡
攻擊者利用合法的企業工具、應用服務和基礎設施作為跳板,掩蓋其非法活動的真實來源,并刪除或破壞日志數據和樣本數據。
攻擊者通過社會工程學手段誘騙目標,常見方式包括:
1. 偽裝成項目方,尋找關鍵目標開發人員,請求幫助調試代碼,并表示愿意提前支付報酬以獲取信任。
我們追蹤相關 IP 和 ua 信息后發現,這筆交易屬于第三方代付,沒有太多價值。
2. 攻擊者偽裝成自動化交易或投資人員,提供交易分析或量化代碼,誘騙關鍵目標執行惡意程序。一旦惡意程序在設備上運行,它會建立持久化后門,并向攻擊者提供遠程訪問權限。
攻擊者利用被入侵設備掃描內網,識別關鍵服務器,并利用企業應用的漏洞進一步滲透企業網絡。所有攻擊行為均通過被入侵設備的 VPN 流量進行,從而繞過大部分安全設備的檢測。
一旦成功獲取相關應用服務器權限,攻擊者便會竊取關鍵服務器的 SSH 密鑰,利用這些服務器的權限進行橫向移動,最終控制錢包服務器,將加密資產轉移到外部地址。整個過程中,攻擊者巧妙利用企業內部工具和基礎設施,使攻擊行為難以被快速察覺。
攻擊者會誘騙員工刪除調試運行的程序,并且提供調試報酬,以掩蓋攻擊痕跡。
此外,由于部分受騙員工擔心責任追究等問題,可能會主動刪除相關信息,導致攻擊發生后不會及時上報相關情況,使得排查和取證變得更加困難。
APT(高級持續性威脅)攻擊因其隱蔽性強、目標明確且長期潛伏的特點,防御難度極高。傳統安全措施往往難以檢測其復雜的入侵行為,因此需要結合多層次網絡安全解決方案,如實時監控、異常流量分析、端點防護與集中日志管理等,才能盡早發現和感知攻擊者的入侵痕跡,從而有效應對威脅。慢霧安全團隊提出 8 大防御方向和建議,希望可以為社區伙伴提供防御部署的參考:
1. 網絡代理安全配置
目標:在網絡代理上配置安全策略,以實現基于零信任模型的安全決策和服務管理。?
解決方案:Fortinet (https://www.fortinet.com/), Akamai (https://www.akamai.com/glossary/where-to-start-with-zero-trust), Cloudflare (https://www.cloudflare.com/zero-trust/products/access/) 等。
2. DNS 流量安全防護
目標:在 DNS 層實施安全控制,檢測并阻止解析已知惡意域名的請求,防止 DNS 欺騙或數據泄露。?
解決方案:Cisco Umbrella (https://umbrella.cisco.com/) 等。
3. 網絡流量/主機監控與威脅檢測
目標:分析網絡請求的數據流,實時監測異常行為,識別潛在攻擊(如 IDS/IPS),服務器安裝 HIDS,以便盡早發現攻擊者的漏洞利用等攻擊行為。?
解決方案:SolarWinds Network Performance Monitor (https://www.solarwinds.com/), Palo Alto (https://www.paloaltonetworks.com/), Fortinet (https://www.fortinet.com/), 阿里云安全中心 (https://www.alibabacloud.com/zh/product/security_center), GlassWire (https://www.glasswire.com/) 等。
4. 網絡分段與隔離
目標:將網絡劃分為較小的、相互隔離的區域,限制威脅傳播范圍,增強安全控制能力。?
解決方案:Cisco Identity Services Engine (https://www.cisco.com/site/us/en/products/security/identity-services-engine/index.html),云平臺安全組策略等。
5. 系統加固措施
目標:實施安全強化策略(如配置管理、漏洞掃描和補丁更新),降低系統脆弱性,提升防御能力。?
解決方案:Tenable.com (https://www.tenable.com/), public.cyber.mil (https://public.cyber.mil) 等。
6. 端點可見性與威脅檢測
目標:提供對終端設備活動的實時監控,識別潛在威脅,支持快速響應(如 EDR),設置應用程序白名單機制,發現異常程序并及時告警。
解決方案:CrowdStrike Falcon (https://www.crowdstrike.com/), Microsoft Defender for Endpoint (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint), Jamf (https://www.jamf.com/) 或 WDAC (https://learn.microsoft.com/en-us/hololens/windows-defender-application-control-wdac) 等。
7. 集中日志管理與分析
目標:將來自不同系統的日志數據整合到統一平臺,便于安全事件的追蹤、分析和響應。
解決方案:Splunk Enterprise Security (https://www.splunk.com/), Graylog (https://graylog.org/), ELK (Elasticsearch, Logstash, Kibana) 等。
8. 培養團隊安全意識
目標:提高組織成員安全意識,能夠識別大部分社會工程學攻擊,并在出事后主動上報異常,以便更及時進行排查。
解決方案:區塊鏈黑暗森林自救手冊 (https://darkhandbook.io/), Web3 釣魚手法分析 (https://github.com/slowmist/Knowledge-Base/blob/master/security-research/Web3%20%E9%92%93%E9%B1%BC%E6%89%8B%E6%B3%95%E8%A7%A3%E6%9E%90.pdf) 等。
此外,我們建議周期性開展紅藍對抗的演練,以便識別出安全流程管理和安全防御部署上的薄弱點。
攻擊事件常常發生在周末及傳統節假日期間,給事件響應和資源協調帶來了不小的挑戰。在這一過程中,慢霧安全團隊的 23pds(山哥), Thinking, Reborn 等相關成員始終保持警覺,在假期期間輪班應急響應,持續推進調查分析。最終,我們成功還原了攻擊者的手法和入侵路徑。
回顧本次調查,我們不僅揭示了 Lazarus Group 的攻擊方式,還分析了其利用社會工程學、漏洞利用、權限提升、內網滲透及資金轉移等一系列戰術。同時,我們基于實際案例總結了針對 APT 攻擊的防御建議,希望能為行業提供參考,幫助更多機構提升安全防護能力,減少潛在威脅的影響。網絡安全對抗是一場持久戰,我們也將持續關注類似攻擊,助力社區共同抵御威脅。
喜來順財經
