HackerNews 编译,转载请注明出处:
自 2025 年 1 月以来,不明身份的黑客组织针对日本的企业发起了一系列恶意攻击,受害者涵盖科技、电信、娱乐、教育及电商行业。
Cisco Talos 研究员 Chetan Raghuprasad 在周四发布的技术报告中指出,攻击者利用 CVE-2024-4577 漏洞(PHP 在 Windows 平台的 PHP-CGI 远程代码执行漏洞)作为初始攻击手段,成功入侵目标系统。
“攻击者利用这一漏洞获取初始访问权限,并运行 PowerShell 脚本,以执行 Cobalt Strike 反向 HTTP shellcode 载荷,从而实现对受感染终端的长期远程控制,”Raghuprasad 表示。
入侵后,攻击者利用 JuicyPotato、RottenPotato、SweetPotato、Fscan 和 Seatbelt 等工具进行侦察、权限提升和横向移动。同时,黑客通过修改 Windows 注册表、创建计划任务及自定义服务等手段,进一步巩固在系统内的持久化控制。此外,攻击者使用 Cobalt Strike 插件 “TaoWu” 进行后渗透攻击。
为了隐藏恶意行为,黑客利用 wevtutil 命令清除 Windows 事件日志,抹除安全、系统及应用日志中的记录。最终,攻击者执行 Mimikatz 命令,从内存中提取并窃取密码及 NTLM 哈希。
攻击的最终目标是窃取凭据,而进一步分析 Cobalt Strike 的命令与控制(C2)服务器后发现,黑客意外暴露了存储在阿里云服务器上的完整攻击工具集。
攻击者使用的工具包括:
– Browser Exploitation Framework(BeEF):一款公开可用的渗透测试工具,可在浏览器上下文中执行命令。
– Viper C2:一个模块化的 C2 框架,支持远程命令执行,并可生成 Meterpreter 反向 shell 载荷。
– Blue-Lotus:一个 JavaScript Webshell XSS 攻击框架,可用于劫持浏览器会话、窃取 Cookie、截取屏幕截图、创建反向 shell,甚至在内容管理系统(CMS)中创建新账户。
“根据我们观察到的后渗透活动,包括建立持久性、提升至 SYSTEM 级权限,以及对对抗性框架的潜在访问,我们有理由相信,攻击者的动机不仅仅是窃取凭据,而是可能策划更大规模的未来攻击,”Raghuprasad 表示。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
