报告摘要
-
持续追踪:NTT全球威胁情报中心(GTIC)自2021年中旬开始跟踪Vermillion Strike攻击者,并在先前的报告中详细记录了相关信息。
-
新活动:过去两周内,同一攻击者启动了一个新的攻击活动,对已知用于Vermillion Strike活动的域名(microsoftkernel[.]com 和 microsofthk[.]com)进行了更新,将其指向一个新的IP地址。这些域名在数月后重新活跃,与被追踪的Cobalt Strike跳板机建立了联系。
-
攻击特点:流量增加和高价值命令与控制(C2)域的重新激活强烈表明了由Vermillion Strike幕后攻击者领导的新活动。
技术细节
- 软银网络节点:在2022年1月29日上线了一个使用先前活动中自签名证书的SoftEther VPN节点。
- 域名更新:microsoftkernel[.]com于2022年1月21日更新为202.58.104.136;NTT利用其全球互联网足迹的独特可见性和遥测,在此之前观察到一个印度尼西亚政府组织开始与其通信,而pDNS服务在2022年1月22日才指向更新。
- 微操作HK:微操作HK[.]com的DNS记录在2022年1月29日更新为202.58.104.136。
- 通信活动:Cobalt Strike跳板机(185.191.34.209)在2022年1月29日之后建立了通信,并保持了大量流量。Microsoftkh[.]com仅与高级目标相关联。
- 关联分析:除了与Cobalt Strike跳板机的连接外,所有通过443端口与SoftEther VPN节点的通信都疑似针对高级目标。
威胁行为者
- 身份未定:目前未将此次活动归因于特定的威胁行为者小组。随着调查的深入,可能会提供更多细节。
- 目标:Vermillion Strike之前只针对政府实体,现在也影响教育和电信行业。泰国和台湾的IP地址通过443端口访问新的主机。
- 技术手段:Cobalt Strike是一种合法的、商业可用的高级渗透工具,最初在2012年发布,用于模拟攻击者行为、红队操作和渗透测试。Vermillion Strike在2021年被复制并发布,专为Linux平台设计。
推荐与应对措施
- 检测与防御:NTT提供威胁检测服务,通过遍布全球的24/7安全运营中心(SOC)来检测、预防和解决Cobalt Strike感染问题。客户可以通过AI驱动的网络安全检测和响应工具(如Cyber Threat Sensor-AI)获得早期的保护。
- MITRE ATT&CK缓解措施:推荐采用MITRE ATT&CK缓解措施来降低被Cobalt Strike入侵的风险,包括漏洞扫描、用户培训、密码策略设置、网络隔离等。
结论
NTT全球威胁情报中心持续监控Vermillion Strike攻击者的活动,并对近期的更新活动进行了深入分析,强调了流量增长和高价值C2域的重新激活可能预示着新一波攻击。为了有效防范此类威胁,建议采取综合的安全措施,包括利用先进的威胁检测技术和服务以及实施MITRE ATT&CK缓解策略。
