top of page
作家相片Symantec Threat Hunter

新駭客組織Grayling:瞄準台灣多家組織進行間諜活動

賽門鐵克揭露新駭客組織Grayling瞄準台灣多家組織進行間諜活動

攻擊手法多樣,以情報蒐集為主要目的

一個以前未知的高級持續威脅(APT)組織使用定制惡意軟件和多個公開可用工具,針對台灣制造業、IT和生物醫學等多個領域的組織進行攻擊。太平洋群島的一個政府機構,以及越南和美國的一些組織,似乎也成為此次活動的目標。此次活動始於20232月,並持續至少到2023年5月。


隸屬BroadcomSymantec Threat Hunter Team 研究人員將此次活動歸因於一個我們稱為「Grayling」的新組織。此次活動引人注目之處在於Grayling使用了一種獨特的DLL側加載技術,該技術使用自定義解密器來部署有效載荷。此次活動的動機似乎是情報搜集。


攻擊者活動

有跡象表明,Grayling 可能會利用面向公眾的基礎設施來初步訪問受害機器。在 DLL 旁加載活動發生之前,在某些受害電腦上觀察到 Web shell 部署。DLL 側面加載用於加載各種有效負載,包括 Cobalt Strike、NetSpy 和 Havoc 框架。 

攻擊者一旦獲得受害者電腦的初始存取權限,就會採取各種行動,包括升級權限、網路掃描和使用下載程式。

攻擊者使用的策略、技術和程序 (TTP) 包括: 

  • Havoc:攻擊者在 2023 年初開始使用的開源後利用命令和控制框架,似乎是 Cobalt Strike 和類似工具的替代品。Havoc 能夠執行各種活動,包括執行命令、管理進程、下載額外的有效負載、操作 Windows 令牌和執行 shellcode。Havoc 也因跨平台而聞名。 

  • Cobalt Strike:現成的工具,可用於執行命令、注入其他進程、提升當前進程或模擬其他進程以及上傳和下載檔案。它表面上具有作為滲透測試工具的合法用途,但總是被惡意行為者利用。

  • NetSpy:一種 公開可用的間諜軟體工具。

  • CVE-2019-0803 的使用:當 Win32k 元件無法正確處理記憶體中的物件時,Windows 中存在特權提升漏洞。

  • Active Directory 發現:用於查詢 Active Directory 並協助對應網路。

  • Mimikatz: 公開可用的憑證轉儲工具。 

  • Kill Processes 殺死進程

  •  Downloaders 下載器

  • 從 imfsb.ini 下載的 Unknown payload


攻擊動機

雖然我們沒有看到資料從受害者設備中洩露,但我們確實看到的活動和部署的工具表明活動背後的動機是情報收集。受害者所在的行業——製造業、IT、生物醫學和政府——也是最有可能成為情報收集目標的行業,而不是出於財務原因。 

使用自訂技術與公開可用的工具相結合是我們目前從 APT 組織中看到的典型活動,威脅行為者經常使用公開的或非公開的工具來嘗試繞過安全軟體並幫助他們的活動停止在防守者的雷達下。Havoc 和 Cobalt Strike 等工具因其功能廣泛,也經常被攻擊者使用。對於熟練的攻擊者來說,使用此類現有工具通常比開發具有類似功能的自訂工具更容易。使用公開可用的工具也會使調查人員更難以確定活動的歸屬。攻擊者採取的步驟(例如終止程序等)也表明,隱藏此活動是他們的首要任務。

我們無法明確地將Grayling與特定地理位置聯繫起來,但針對台灣組織的大量攻擊確實表明,他們可能在對台灣有戰略利益的地區開展活動。 


防護/緩解

有關最新的防護更新,請造訪 Symantec Protection Bulletin


入侵指標 Indicators of Compromise

如果該入侵指標具有惡意的行為且有明確的檔案,Symantec Endpoint產品將會偵測與阻擋該威脅檔案


檔案指標 File Indicators

SHA256 hashes:

da670d5acf3648b0deaecb64710ae2b7fc41fc6ae8ab8343a1415144490a9ae9 – Havoc framework79b0e6cd366a15848742e26c3396e0b63338ead964710b6572a8582b0530db17 – Downloader bf1665c949935f3a741cfe44ab2509ec3751b9384b9eda7fb31c12bfbb2a12ec – Downloader c2a714831d8a7b0223631eda655ce62ff3c262d910c0a2ed67c5ca92ef4447e3 – Cobalt Strike Beacon667624b10108137a889f0df8f408395ae332cc8d9ad550632a3501f6debc4f2c – Exploit for CVE-2019-080387a7e428d08ecc97201cc8f229877a6202545e562de231a7b4cab4d9b6bbc0f8 – Downloader 90de98fa17294d5c918865dfb1a799be80c8771df1dc0ec2be9d1c1b772d9cf0 – Loader 8b6c559cd145dca015f4fa06ef1c9cd2446662a1e62eb51ba2c86f4183231ed2 – Cobalt Strike Stagerd522bf1fb3b869887eaf54f6c0e52d90514d7635b3ff8a7fd2ce9f1d06449e2c – NetSpy 4fbe8b69f5c001d00bd39e4fdb3058c96ed796326d6e5e582610d67252d11aba – DLL file9bad71077e322031c0cf7f541d64c3fed6b1dc7c261b0b994b63e56bc3215739 – NetSpy f2aaedb17f96958c045f2911655bfe46f3db21a2de9b0d396936ef6e362fea1b – Downloader 525417bdd5cdd568605fdbd3dc153bcc20a4715635c02f4965a458c5d008eba9 – Downloader 23e5dfaf60c380837beaddaaa9eb550809cd995f2cda99e3fe4ca8b281d770ae – Downloader 6725e38cbb15698e957d50b8bc67bd66ece554bbf6bcb90e72eaf32b1d969e50 – Downloader 5ef2e36a53c681f6c64cfea16c2ca156cf468579cc96f6c527eca8024bfdc581 – Downloader 12924d7371310c49b1a215019621597926ef3c0b4649352e032a884750fab746 – Windumpab09e8cac3f13dea5949e7a2eaf9c9f98d3e78f3db2f140c7d85118b9bc6125fc76ba3eb764706a32013007c147309f0be19efff3e6a172393d72d46631f712e245016ace30eda7650f6bb3b2405761a6a5ff1f44b94159792a6eb64ced023aa4c44efc7d9f4cd71c43c6596c62b91740eb84b7eb9b8cf22c7034b75b5f432d9e75f2cee98c4b068a2d9e7e77599998196fd718591d3fa23b8f684133d1715c3f3e8f2ef4ad949a0ada037f52f4c0e6000d111a4ac813e64138f0ded865e6e31971ab5d4f0ec58fa1db61622a735a51e14e70ee5d99ab3cd554e0070b248eb1ff1764f8c6fc428237ffafeb08eb0503558c68c6ccf6f2510a2ef8c574ba347e0c24b19e7ccd965dfeed553c94b093533e527c55d5adbc9f0e87815d477924be5af26d07754c8d4d1cb88195f7dc53e2e4ebee382c5b84fc54a81ba1cee4d08891f15c3ae1ce442a67e3d01ed291604bfc1cb196454b717e4fb5ac52daa37ecce7ea706d8da9d68e1214e30c6373713da3585df8a337bc64fcc154fc5363f5f1f30130ea1ab762c155289a32db810168f59c3d37b69bcbedfd284c4a861d749d674cbde4d4b4ac4cae943831035bff90814fa54fd21c3a6a6ec16e7e3fb235f87752018c117e07f5d58eed35622777e971a5f495184df1c25041ff525ca72acea6a8c39e4c543e94f6e4901d0facee7793f932cd2351259d8054981cf2b4da814803d0d07d64010b102413da61bbf7b4d378891e2a46848b88ef69ca9357e37217c1b20de1f170cfaf3e75ebc7e81860378e353c84469795a162cd3cfd7263ba2a180e67fcaf2254b18eafdc95b83038e9a4385b1a5c2651651d9d288fa0500fede500875266fd18c76959839e8c6b075e4408dcbc0b620f7544f28978b852c1c1ed1b6a06abbab98471d5af33e242acc76d17b41c6e96cce0938a05703b58b91ba8a7af30e02bd45e3570de20777ab7c1eec4797919bfcd39dde681eb69b9faf1b72410e8e6ef0eb3e0f950ec4ced1be0ee6ac0a9349c8280cd8d12cc00850f9dcadcac4c57df4e31dd7094ae96657f54b22c87233e8277a2c40ba56eafcf548d0e1724360e0ae11364d3ac0eb8518ecf5d859128d094e9241d8e6feb43a9f29b19ccfa8bc75ce4cf29eb52d4afe79fe7c3819ac08b68bd87b35225a762112ba6e5d840ddeedc3b691e11a286acd7b6c087a91af27c00044dd1d951da58930683acfe90afa3cbb974e219a5ab8a9ee8c933b397d1c1c97d6e12015726b109f1b5ed10f2564cd60d02666637e9eac36db36f3a13906b851ec1207c7df620d8970

 

網路指標 Network Indicators

Domaind

3ktcnc1w6pd1f.cloudfront[.]net

IP addresses

172.245.92[.]2073.0.93[.]185

URL

shttp://45.148.120[.]23:91/version.dllhttp://45.148.120[.]23:91/vmtools.exe

Comments

Couldn’t Load Comments
It looks like there was a technical problem. Try reconnecting or refreshing the page.
bottom of page