螳螂 APT 黑客组织利用 ASP.NET 漏洞攻击 Microsoft IIS 服务器以色列网络安全公司 Sygnia 正在追踪这个名为“螳螂”或“TG2021”的先进、隐蔽的对手。

以色列网络安全公司 Sygnia 正在追踪这个名为“螳螂”或“TG2021”的先进、隐蔽的对手。

“TG1021 使用定制的恶意软件框架,围绕一个通用核心构建,为 IIS 服务器量身定制。该工具集是完全易失的,会反射性地加载到受影响机器的内存中,并且在受感染的目标上几乎没有留下任何痕迹,威胁行为者还使用一个额外的隐蔽后门和几个后利用模块来执行网络侦察、提升特权和在网络内横向移动。”

除了展示通过主动干扰日志记录机制和成功规避商业端点检测和响应 (EDR) 系统来避免检测的重大努力外,已知威胁行为者还利用 ASP.NET Web 应用程序漏洞利用库来获得通过执行一个名为“NodeIISWeb”的复杂植入程序来初始立足点和后门服务器,该植入程序旨在加载自定义 DLL 以及拦截和处理服务器收到的 HTTP 请求。

攻击者利用的漏洞包括:

复选框调查 RCE 漏洞 ( CVE-2021-27852 )

VIEWSTATE 反序列化利用

Altserialization 不安全的反序列化

Telerik-UI 漏洞利用(CVE-2019-18935和CVE-2017-11317)

有趣的是,Sygnia 对 TG1021 的战术、技术和程序 (TTP) 的调查发现了与国家赞助的名为“复制粘贴妥协”的演员的那些“主要重叠” ,正如澳大利亚网络安全中心发布的一份咨询报告中所详述的( ACSC) 于 2020 年 6 月,描述了主要通过使用 Telerik UI 和 IIS 服务器中未修补的缺陷,针对面向公众的基础设施的网络活动。但是,尚未做出正式归属。

螳螂在西方以知名的公共和私人实体为目标,体现了网络犯罪分子使用复杂的民族国家攻击方法瞄准商业组织的日益增长的趋势。持续的取证活动和及时的事件响应对于识别和有效保护网络免受类似威胁行为者的攻击至关重要。

伊朗火车系统的网络攻击背后系一种新Wiper 恶意软件

来自英国国家网络安全中心的零信任简介

举报/反馈