一個以前不為人知的APT(高級持續威脅)黑客組織被稱為“Earth Longzhi”,目標是東亞、東南亞和烏克蘭的組織。
攻擊者至少從 2020 年開始就一直活躍,他們使用定制版本的 Cobalt Strike 加載程序在受害者系統上植入持久性后門。
根據趨勢科技的一份新報告,Earth Longzhi 具有與“ Earth Baku ”相似的 TTP(技術、策略和程序),兩者都被認為是被追蹤為 APT41的分支組織。
APT41 組織結構 (Trend Micro)
趨勢科技的報告展示了 Earth Longzhi 進行的兩次活動,第一次發生在 2020 年 5 月至 2021 年 2 月之間。期間,黑客攻擊了TW的幾家基礎設施公司、一家銀行和一個政府機構。
在這次活動中,黑客使用了定制的 Cobalt Strike 裝載機“Symatic”,該裝載機具有復雜的反檢測系統,包括以下功能:
- 從“ntdll.dll”中移除 API 掛鉤,獲取原始文件內容,并將內存中的 ntdll 映像替換為不受安全工具監控的副本。
- 為進程注入生成一個新進程并偽裝父進程以混淆鏈。
- 將解密的有效負載注入新創建的進程。
對于其主要操作,Earth Longzhi 使用了一種一體化的黑客工具,將各種公開可用的工具組合在一個包中。
該工具可以打開 Socks5 代理、在 MS SQL 服務器上執行密碼掃描、禁用 windows 文件保護、修改文件時間戳、掃描端口、啟動新進程、執行 RID 欺騙、枚舉驅動器以及使用“SQLExecDirect”執行命令。
趨勢科技觀察到的第二次活動從 2021 年 8 月持續到 2022 年 6 月,針對菲律賓的保險和城市發展公司以及泰國和TW的航空公司。
第二次活動的時間表 (趨勢科技)
在最近的這些攻擊中,Earth Longzhi 部署了一組新的自定義 Cobalt Strike 加載程序,這些加載程序使用不同的解密算法和附加特性來提高性能(多線程)和有效性(誘餌文檔)。將 Cobalt Strike 有效負載注入到在內存中運行的新創建的進程中與在 Symatic 中相同。
BigpipeLoader 的一個變體遵循非常不同的有效負載加載鏈,在合法應用程序 (wusa.exe) 上使用 DLL 旁加載 (WTSAPI32.dll) 來運行加載程序 (chrome.inf) 并將 Cobalt Strike 注入內存。
Earth Longzhi 攻擊中使用的最新加載程序變種 (Trend Micro)
在目標上運行 Cobalt Strike 后,黑客使用自定義版本的 Mimikatz 竊取憑據并使用“PrintNighmare”和“PrintSpoofer”漏洞來提升權限。
為了禁用主機上的安全產品,Earth Longzhi 使用名為“ProcBurner”的工具,該工具濫用易受攻擊的驅動程序 (RTCore64.sys) 來修改所需的內核對象。ProcBurner 旨在終止特定的運行進程。
ProcBurner 功能圖 (趨勢科技)
值得注意的是, BlackByte 勒索軟件在自帶易受攻擊的驅動器 (BYOVD) 攻擊中也使用了相同的 MSI Afterburner 驅動程序 ,濫用它來繞過安全軟件保護。
APT 組織越來越依賴商品惡意軟件和 Cobalt Strike 等攻擊框架來掩蓋他們的蹤跡并使歸因變得困難。黑客開發和使用定制工具來隱蔽加載有效載荷和繞過安全軟件。通過采取這些策略,Earth Longzhi 已經設法保持至少 2.5 年未被發現。
