关键要点

• 根据目录浏览漏洞分析了一个中国攻击团伙。
• 攻击者使用 WebLogicScan、Vulmap 和 Xray 进行了广泛的扫描和漏洞利用，攻击目标包括韩国、中国、泰国、台湾和伊朗的组织。
• 攻击组织习惯使用Viper C2 框架以及包括 TaoWu 和 Ladon 扩展的 Cobalt Strike 工具包。
• Leaked LockBit 3 构建器用于创建带有自定义勒索信的 LockBit 有效负载，其中包括对我们在报告中进一步调查的 Telegram 群组的引用。

摘要

DFIR 报告的威胁情报团队在 2024 年 1 月测绘到一个存在目录浏览漏洞的互联网资产，并对其进行了攻击团伙技战术分析。经过审查，我们发现它与自称“幽盾”的中文黑客组织有关。

攻击者使用这台服务器进行了各种攻击活动，包括信息收集，使用 WebLogicScan、Vulmap 和 Xray 等工具进行Web 漏洞利用活动。，他们已经扫描出大量存在漏洞的互联网资产。他们获取了一些运行致远OA的web网站权限，使用 SQLmap 进行 SQL 注入攻击。

我们发现了一些攻击者渗透成功的痕迹，比如说，在获得访问权限后，攻击者使用更多工具尝试利用各种漏洞来提升失陷主机上的权限，包括使用 traitor 进行 Linux 权限提升漏洞，以及使用 CDK 进行 docker 和 kubernetes 权限提升。

在目录浏览的服务器上我们发现了Cobalt Strike 和 Viper 框架相关的文件。Cobalt Strike 工具的压缩包中包含团队服务器程序和插件 TaoWu ， Ladon，它们极大地扩展了框架的功能。DFIR 报告威胁情报团队在 2024 年 1 月 18 日至 2 月 10 日期间跟踪该C2服务器。从这台服务器上的数据分析，我们确定了一个由八个 IP 地址组成的集群，这些地址都用于代理同一攻击者的C2服务器，并在同一时间范围内处于活动状态。

攻击者还利用泄露的 LockBit 3 勒索软件构建器来创建自定义二进制LB3.exe。LockBit 二进制文件生成的勒索信以“EVA”管理的 Telegram 组“You_Dun”的形式提供了联系方式。负责的小组也使用“Dark Cloud Shield Technical Team”这个名字。这个团伙似乎根据他们的渠道参与了销售“渗透测试”，但也从事非法数据销售，DDOS，并且基于 LockBit 二进制文件，还使用勒索软件来赚取收入。

入侵攻击链分析

边界突破

Sqlmap

文章原文链接:https://www.anquanke.com/post/id/301388