写在前面的话
要说哪个网络威胁组织同时具备狡猾的社会工程学能力和灵活的网络安全技术,那就不得不提到Muddled Libra了。由于对企业信息技术有着深入的了解,即使你的组织机构拥有完善的传统网络防御系统,Muddled Libra也会对你产生巨大的威胁。
我们对2022年年中到2023年年初的六起与Muddled Libra有关联的网络安全事件进行了分析,发现该威胁组织倾向于针对为高价值加密货币机构和个人服务的大型外包公司。而想要阻止Muddled Libra的攻击,则需要组织机构拥有严格的安全控制机制、高度“敏感”的网络安全意识和持续性的高级监控方案。
Muddled Libra的技战术非常多变,并且能够快速适应目标环境,社会工程学技术是他们所使用的主要方式。除此之外,他们也正在使用各种匿名代理服务来掩盖他们的原始IP地址以及实际地理位置。
我们认为,英语是Muddled Libra成员的第一语言,这也使得他们在对使用英语的目标用户执行社会工程学攻击时,将更具杀伤力,而他们的主要目标似乎都在“漂亮国”。
根据研究人员的发现,Muddled Libra一直与BlackCat(又名ALPPV)勒索软件集团有关联,我们认为他们很可能是其附属组织,而BlackCat被认为是过去12个月来最活跃、最持久的勒索软件集团之一。在过去的12个月里,我们在BlackCat的数据泄露站点上观察到了至少316起事件。需要注意的是,BlackCat还允许分支机构访问他们的工具包,其中包括编译的勒索软件二进制文件、技术支持、谈判技巧以及泄漏网站的访问权等等。
Muddled Libra的特征
我们可以用几个方面来简单概括Muddled Libra的特征:
- 使用0ktapus网络钓鱼工具包;
- 长期的持久化攻击;
- 持续针对业务流程外包(BPO)行业;
- 数据盗窃;
- 在下游攻击中使用被入侵的基础设施;
对Muddled Libra的深入研究表明,他们使用了一个异常庞大的攻击工具包,其武器库从社会工程学和smishing攻击,到渗透测试和取证工具,几乎“无所不用其极”。而且Muddled Libra在追求目标方面有条不紊,进攻策略高度灵活。当攻击路径被阻断时,他们要么迅速转向另一个向量,要么修改环境以使用他们擅长的攻击方法。值得一提的是,Muddled Libra似乎“深谙”事件应急响应的处理机制,这也使得他们能够在应对目标组织事件应急响应的同时,持续地朝着他们的最终目标迈进。
Muddled Libra倾向于使用被盗数据瞄准目标用户的下游客户,如果允许,他们会反复回到受入侵的网络系统刷新被盗数据集。有了这些被盗数据,即使在事件响应之后,攻击者仍然有能力回到最初的目标网络系统中。
Muddled Libra的攻击链
Muddled Libra的攻击链如下图所示:
Muddled Libra的技战术分析
网络侦查
Muddled Libra一直表现出对目标组织的深入了解,包括员工名单、工作角色和手机号码。在某些情况下,这些数据可能是在早期针对上游目标的数据泄漏攻击中获得的。
威胁行为者还经常从非法数据代理获取信息包,这些数据通常是通过使用诸如RedLine窃取程序之类的恶意软件从受感染的设备中获取的,其中包括公司和个人设备。随着自带设备(BYOD)政策的早期出现,以及混合工作解决方案的流行,公司数据和凭据被频繁使用并缓存在个人设备上。这也不仅给分散IT资产的管理和保护提升了难度,而且也保护为信息窃取恶意软件创造了有利可图的目标定位机会。
资源部署
在smishing攻击中使用相似域名,已经成为了Muddled Libra的标志之一,这种策略是有效的,因为移动设备经常会截断SMS短信中的链接。而这些域名只会在最初的访问阶段使用,然后很快就会被删除。
初始访问
在研究人员可以确定Muddled Libra初始访问媒介的安全事件中,都涉及到了smishing攻击或社会工程学技术。在大多数事件中,威胁行为者会直接向目标员工的手机发送钓鱼信息,并声称他们需要更新账户信息或重新验证公司应用程序。消息中包含一个指向伪造公司域名的链接,该域名将模仿目标用户熟悉的服务登录页面。
持久化
Muddled Libra特别专注于维护对目标环境的访问权。虽然威胁参与者在入侵期间使用免费或演示版的远程监控和管理(RMM)工具是很常见的,但Muddled Libra经常安装六个或更多这样的实用程序。他们这样做是为了确保即使发现了一个,他们也会保留一个进入环境的后门。
之所以选择使用RMM这样的工具,是因为这些工具是合法工具,而且很多关键业务的应用程序都会用到这些内容,这也是Muddled Libra选择利用这些工具的原因。这些工具都不是固有的恶意工具,而且在许多企业网络的日常管理中会经常使用到。因此,我们建议组织通过签名来阻止任何未经批准在企业内使用的RMM工具。
防御规避
Muddled Libra常用的安全防御机制规避技术如下:
- 禁用防病毒产品和基于主机的防火墙;
- 尝试删除防火墙配置文件;
- 创建策略或机制以关闭安全防御工具;
- 停用或卸载EDR和其他监控产品;
除此之外,Muddled Libra在运营安全方面很谨慎,一直使用商业虚拟专用网络(VPN)服务来掩盖其地理位置,并试图融入合法流量。在其活动中,我们观察到他们使用了多家供应商的服务,其中包括Expres*VPN、NordVPN、Ultrasurf、Easy VPN和ZenMate。
凭证访问
一旦捕获了用于初始访问的凭据,攻击者就会选择两条路径中的一条。在一种情况下,他们继续从他们控制的机器进行身份验证流程,并立即请求多因素身份验证(MFA)码。在另一种情况下,他们会生成了一系列无休止的MFA提示,直到用户出于疲劳或沮丧接受了一个提示(也称为MFA轰炸)。
在建立了立足点后,Muddled Libra会迅速采取行动,提升访问权限。这一阶段使用的标准凭证窃取工具包括Mimikatz、ProcDump、DCSync、Raccoon Steiner和LAPSToolkit。
代码执行
在我们的调查中,Muddled Libra似乎主要对数据和凭据盗窃感兴趣,我们很少会看到远程代码执行的情况。如果需要的话,该组织会选择使用Sysinternals PsExec或Impacket完成代码执行。
数据收集
Muddled Libra似乎非常熟悉典型的企业数据管理机制,并且能够成功地在目标设备上的各种常见数据库中找到敏感数据,其中包括结构化或非结构化数据库,例如:
- Confluence
- Git
- Elastic
- Microsoft Office 365(SharePoint、Outlook...)
- 内部消息平台
除此之外,他们还会使用开源数据挖掘工具Snafler和本地工具搜索注册表、本地驱动器和网络共享,以查找*密码*和安全限制等关键字。然后将泄露的数据暂存并存档,以便使用WinRAR或PeaZip进行数据提取。
数据提取
在某些情况下,Muddled Libra试图建立反向代理shell或安全shell(SSH)隧道,主要用于命令和控制或数据提取。Muddled Libra还使用了常见的文件传输网站,如put[.]io、transfer[.]sh、wasabi[.]com或gofile[.]io来提取数据和投放攻击工具。
总结
Muddled Libra的做事风格非常稳,可以对软件自动化、BPO、电信和技术行业的组织构成重大威胁。他们精通一系列安全规程,能够在相对安全的环境中执行自己的目标任务,并迅速执行其攻击链。
安全防御人员必须结合尖端技术和全面的安全防御措施,以及对外部威胁和内部事件的全面监控,才能够实现信息安全的完整保护。
入侵威胁指标
Muddled Libra活动相关的IP地址:
104.247.82[.]11
105.101.56[.]49
105.158.12[.]236
134.209.48[.]68
137.220.61[.]53
138.68.27[.]0
146.190.44[.]66
149.28.125[.]96
157.245.4[.]113
159.223.208[.]47
159.223.238[.]0
162.19.135[.]215
164.92.234[.]104
165.22.201[.]77
167.99.221[.]10
172.96.11[.]245
185.56.80[.]28
188.166.92[.]55
193.149.129[.]177
207.148.0[.]54
213.226.123[.]104
35.175.153[.]217
45.156.85[.]140
45.32.221[.]250
64.227.30[.]114
79.137.196[.]160
92.99.114[.]231
