网络安全研究人员披露了水坑攻击的详细信息,该攻击利用GoogleChrome和InternetExplorer中的漏洞部署恶意软件进行间谍活动。该攻击使用SLUB(即SLack和github)恶意软件和两个新的后门——dneSpy和agfSpy——来窃取系统信息并获得对受感染机器的额外控制。据这家网络安全公司称,这些攻击发生在3月、5月和9月。水坑攻击通过破坏精心挑选的网站、插入漏洞、获得对受害者设备的访问权限并用恶意软件感染它来破坏目标业务。据说OperationEarthKitsune在与朝鲜相关的网站上部署了间谍软件样本,尽管来自韩国IP地址的用户被阻止访问这些网站。多样化的攻击行为虽然之前涉及SLUB的操作使用GitHub存储平台将恶意代码片段下载到Windows系统并将执行结果发布到攻击者控制的私人Slack通道,但最新的恶意软件攻击目标是Mattermost,一个类似slacko的开源协作消息系统.“该活动非常多样化,大量样本部署到受害机器和活动中使用的多个命令和控制(C&C)服务器,”进行安全实验的趋势科技团队表示。“总的来说,我们发现该活动使用了5台C&C服务器、7个样本,并利用了4个‘N-day漏洞’。”攻击者通过特制的HTML页面利用了已打补丁的Chrome漏洞(CVE-2019-5782),允许攻击者在沙箱中执行任意代码。另外,InternetExplorer中的一个漏洞(CVE-2020-0674)也被用于通过受感染的网站传播恶意软件。这次的变化是使用Mattermost服务器跟踪多台受感染计算机的部署,此外还为每台计算机创建一个单独的通道以检索从受感染主机收集的信息。另外两个后门是dneSpy和agfSpy,前者旨在收集系统信息、截屏、下载并执行从C&C服务器接收到的恶意命令,并将结果压缩、加密并传输到黑客的服务器。dneSpy的对手agfSpy带有自己的C&C服务器机制,用于获取shell命令并发回执行结果。它的主要功能包括枚举目录和列出、上传、下载和执行文件的能力。研究人员得出结论:“地球狐狸行动复杂而多产,因为它使用了各种组件并允许它们相互合作。利用新颖的攻击方式和组合来避免系统安全产品的规避。”从浏览器的开发shell代码到agfSpy,这些元素都是自定义编码的。这个组织今年非常活跃,安保团队预计在接下来的一段时间内他们还会继续搞表演活动。“
