【安全资讯】TrailBlazer:APT29组织隐藏多年的恶意软件

猎影实验室 2022-02-09 08:01:41 1397人浏览

引言

1月27日,研究人员披露了StellarParticle活动的攻击细节,该活动与APT29组织有关。在最新的调查活动中,研究人员在受害者系统上发现了 GoldMax 的Linux版本变体和 TrailBlazer 恶意软件。这两种威胁至少自 2019 年年中以来就已在 StellarParticle 活动中使用,但在两年后的事件响应调查中才被发现。

 

简况

APT29组织也被称为 CozyBear、The Dukes 和 Yttrium,该组织已经开展网络间谍活动超过 12 年。研究人员对于 StellarParticle 活动利用的新颖策略和技术进行了分析。这些技术包括:

  1. 用于掩盖横向移动的凭证跳跃
  2. Office 365 (O365) 服务主体和应用程序劫持、模拟和操纵
  3. 窃取浏览器 cookie 以绕过多因素身份验证
  4. 使用TrailBlazer植入程序和GoldMax恶意软件的 Linux 变种
  5. 使用 Get-ADReplAccount 窃取凭据

 

凭证跳跃是攻击的第一阶段,允许攻击者从黑客通过受感染的面向公众的系统到达的内部服务器登录 Office 365。凭证跳跃技术示例如下图:

研究人员使用用户访问日志 (UAL) 数据库来识别早期的恶意帐户使用情况,从而在受害者系统上发现了 GoldMax 的Linux变体和 TrailBlazer 恶意软件。TrailBlazer 是一个全新的恶意软件家族,GoldMax的Linux后门在功能和实现上几乎与2020 年 5 月的 Windows 变种相同。两个 GoldMax 版本之间的微小差异是由于开发人员对长期检测规避的不断改进。

 

GoldMax 很可能用于实现StellarParticle 活动中的长期持久性,后门通过伪装成隐藏目录中的合法文件而未被检测到。TrailBlazer 植入物隐藏在合法文件的名称下,并使用 Windows Management Instrumentation (WMI) 配置为持久性。TrailBlazer 设法通过将C2服务器隐藏为合法的 Google 通知 HTTP 请求来保持与C2服务器的通信。

 

TrailBlazer植入程序具有模块化功能和非常低的流行率,并且与APT29组织使用的其他恶意软件系列有相似之处,如 GoldMax 和Sunburst,这两种恶意软件均用于 SolarWinds 供应链攻击。为了防止失去访问权限,APT29组织会定期通过窃取新凭据来刷新被盗凭据,通常是通过 Mimikatz。

 

总结

在 StellarParticle 攻击活动期间,APT29组织展示了 Azure、Office 365 和 Active Directory 管理方面的专家知识。APT29组织是网络间谍中最老练的攻击者之一,拥有顶级的技术水平,可以长期渗透在公司的基础设施中而不被发现。

失陷指标(IOC)11
APT StellarParticle APT29 TrailBlazer GoldMax 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。