内容简介:近期的Firefox漏洞CVE-2019-11707最早是 Google Project Zero的Samuel Groß在4月15号提交的,不过他发现的0day只能导致代码执行,却无法进行Firefox的沙盒逃逸,因此如果在实际攻击中利用应该还需要配合一个沙盒逃逸的漏洞。随后在近日,数字货币交易机构Coinbase的安全人员向Firefox提交了其内部遭到攻击时捕获到的一个漏洞,该漏洞经过证明为一处沙盒逃逸的漏洞,并被命名为CVE-2019-11708。
背景
近期的Firefox漏洞CVE-2019-11707最早是 Google Project Zero的Samuel Groß在4月15号提交的,不过他发现的0day只能导致代码执行,却无法进行Firefox的沙盒逃逸,因此如果在实际攻击中利用应该还需要配合一个沙盒逃逸的漏洞。
随后在近日,数字货币交易机构Coinbase的安全人员向Firefox提交了其内部遭到攻击时捕获到的一个漏洞,该漏洞经过证明为一处沙盒逃逸的漏洞,并被命名为CVE-2019-11708。
后续Coinbase的相关安全人员也公布了其中的 IOC,并且声称其并不是遭受攻击的唯一数字货币交易机构。
Hash:
af10aad603fe227ca27077b83b26543b
de3a8b1e149312dac5b8584a33c3f3c6
C2 IP:
89.34.111.113:443
185.49.69.210:80
并且著名的Mac恶意样本研究小站Objective-See发布了涉及该漏洞事件投递的macOS 后门的分析报告(https://objective-see.com/blog/blog_0x43.html)。
结合报告披露的内容,有数字加密货币的相关人员收到了如下图的邮件之后,点击了对应的html从而导致后台恶意代码执行,有意思的是其提供的后续恶意代码和之前Coinbase安全人员提供的一致,即de3a8b1e149312dac5b8584a33c3f3c6,因此将这个两次事件联系到一起,猜测这次0day的攻击源头来自于people.ds.cam.ac.uk/nm603/awards/Adams_Prize。
随后我们对相关线索进行进一步的分析。
分析
我们通过vt可以看到Coinbase提供的两个样本,其中主要关注第二个,该样本和之前objective-see中提到的一致。
第一次的提交时间为6月6日,来自于南非,第二次则是6月20日,来自于加拿大。
再看看由Coinbase提供的两个ip,89.34.111.113:443和185.49.69.210:80
其中89.34.111.113下就有之前提到的de3a8b1e149312dac5b8584a33c3f3c6(IconServicesAgent),除此之外一个还有一个windows相关的样本,上传时间为2018年4月16日。
结合奇安信TIP 平台也可以查看到该 IP 历史对应的样本,其为 Emotet,知名的银行木马。
185.49.69.210:80下则没有太多有效关联信息。
分析下de3a8b1e149312dac5b8584a33c3f3c6这个样本,该样本应该是 Mac 下的 Netwire RAT,Netwire RAT 是一个公开的木马。样本中有一处比较特殊的字符串"hyd7u5jdi8"。
hyd7u5jdi8这个字符比较特殊,其曾在2012年的Netwire样本中出现,该样本号称第一个mac osx及 linux 的样本。
而该Netwire 木马之前也被APT组织和网络犯罪团伙所使用:
例如被认为隶属于伊朗的APT 33所使用, 著名的网络犯罪团伙Carbanak和尼日利亚黑客组织SilverTerrier。
有意思的是之后名为Vitali Kremez的研究人员介绍该字符串也出现在 FireEye在2017年5月报的CVE-2017-0261 eps 0day攻击事件中。
而在当时的攻击中最后投递的样本正是Netwire。
而从fireeye的报告中可以看到,这起攻击中出现了三个团伙turla,apt28,及一个未知的经济动机组织,该组织使用的正是NETWIERE,且其攻击的目标为全球银行组织在中东的相关机构。
而我们注意到fireeye在2019年3月底的利用 WinRAR 漏洞CVE-2018-20250的攻击活动报告中的一起攻击活动中,提到了利用 WinRAR 漏洞投递 Netwire 木马,并且使用了89.34.111.113的 C2,其 C2 IP 地址和此次0day 漏洞的攻击 C2相同。
总结
当前的证据似乎还不能完全归属到已知的攻击组织,但结合上述关联分析,我们可以做出如下推测:
1. 该组织应该以经济牟利为重要攻击动机,历史攻击目标可能为银行,并延伸至数字货币交易所
2. 从目标地域来看,中东似乎是其主要目标,但结合文件上传地分布,也不排除是全球性的
3. 使用 Netwire 作为其主要的 RAT 工具,值得注意的是 Netwire 是公开的商业版 RAT,并适配与多个平台,攻击者可能使用的带有特定指纹的版本
4. 攻击者似乎具备较强的0day 漏洞利用能力,但也不排除其是购买的0day 漏洞,但值得注意的是攻击者一直处于活跃之中。
参考链接
https://www.bleepingcomputer.com/news/security/firefox-0-day-used-in-targeted-attacks-against-cryptocurrency-firms/
https://www.fireeye.com/blog/threat-research/2019/03/winrar-zero-day-abused-in-multiple-campaigns.html
https://www.fireeye.com/blog/threat-research/2017/05/eps-processing-zero-days.html
https://www.lac.co.jp/lacwatch/pdf/20190619_cecreport_sp.pdf
https://objective-see.com/blog/blog_0x43.html
https://ti.360.net/blog/articles/winrar-exploit-update/
https://www.symantec.com/blogs/threat-intelligence/elfin-apt33-espionage
https://www.fireeye.com/blog/threat-research/2017/09/apt33-insights-into-iranian-cyber-espionage.html
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
以上所述就是小编给大家介绍的《利用Firefox 0day漏洞攻击事件的关联分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 蔓灵花(BITTER)APT组织使用InPage软件漏洞针对巴基斯坦的攻击及团伙关联分析
- 蔓灵花(BITTER)APT组织使用InPage软件漏洞针对巴基斯坦的攻击及团伙关联分析
- Flash 0day + Hacking Team远控:利用最新Flash 0day漏洞的攻击活动与关联分析
- Flink 维表关联系列之 Kafka 维表关联:广播方式
- Flink 维表关联系列之 Redis 维表关联:实时查询
- Flink 维表关联系列之 MySQL 维表关联:全量加载
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Spring实战(第4版)
Craig Walls 沃尔斯 / 张卫滨 / 人民邮电出版社 / 2016-4-1 / CNY 89.00
《Spring实战(第4版)》是经典的、畅销的Spring学习和实践指南。 第4版针对Spring 4进行了全面更新。全书分为四部分。第1部分介绍Spring框架的核心知识。第二部分在此基础上介绍了如何使用Spring构建Web应用程序。第三部分告别前端,介绍了如何在应用程序的后端使用Spring。第四部分描述了如何使用Spring与其他的应用和服务进行集成。 《Spring实战(第4......一起来看看 《Spring实战(第4版)》 这本书的介绍吧!
