概述

奇安信威脅情報中心於2022年末時觀察到一夥未知的威脅者在仿冒一些常用軟體下載頁面，併購買google的搜尋排名將仿冒網站部署到官方網站的前面，以此誘導受害者下載帶有非官方合法簽名的經過innosetup二次打包的安裝包。

由於攻擊鏈較為複雜，並且需要攻擊者手動操作，所以我們一直沒有獲取到最終的payload，導致無法進行組織歸屬，直到2023年中時，我們觀察到位於東亞和北美的終端下載了這些非法的安裝包，攻擊者最後通過SFTP向受害終端投遞了TeamView的DLL-Sideloading元件記憶體載入MINEBRIDGE RAT，至此我們才確信該團伙與境外友商Zscaler ThreatLabZ在2021年披露的針對安全研究人員^[1]的攻擊活動重疊。

該團伙在最近一年的釣魚活動時間線：

攻擊鏈

Operation HideBear本次釣魚活動的攻擊鏈如下：

整體執行鏈的重點在ssh反向隧道，由於openssh是正常的白檔案，很容易繞過EDR終端的檢測，最終攻擊者通過sftp-server.exe向受害機器傳遞teamview的劫持元件，對themida樣本進行分析後發現為MINEBRIDGE RAT，除此之外我們還發現了anydesk的使用並嘗試利用psexec進行橫向移動，攻擊者在解密key的過程中使用了[System.Security.Cryptography.ProtectedData]::Unprotect函數，這意味著只有在受害機器的使用者上下文中才能對資料進行解密。

本次釣魚活動一共使用了四個合法簽名，有些簽名截止到報告完成為止仍然合法，通過合法的數字簽名進行關聯發現該團伙還使用了Amadey商業木馬，但用途未知。

我們還發現了MINEBRIDGE RAT最新的變種，樣本疑似經過llvm的混淆，剔除了老版本的指令，運行後會從C&C伺服器上拉取一個DLL並記憶體載入，該DLL的主要功能是創建一個管道執行C&C伺服器上下發的powershell命令，執行的ps腳本與上述下載ssh元件的腳本一致。

歸因和影響

從innosetup安裝包訪問的前置域名的註冊時間可以推斷，該團伙在2021至今這段時間一直保持活躍狀態，但是在這期間OSINT社區中有關MINEBRIDGE的報告非常少，在這段真空期中攻擊者的活動似乎已經很難進行追溯，我們在MINEBRIDGE中發現了攻擊者內建幾個域名（其中包含一個CN結尾的域名），有些域名已經過期，查詢歷史解析記錄發現曾經在2021年-2022年中使用了Cloudflare CDN節點隱藏自己的真實IP。

基於奇安信大資料回滾後發現在惡意域名解析為Cloudflare CDN節點期間，中國的企業專線和家庭寬頻存在與域名通訊的情況，企業涉及比特幣公司、電子元器件相關的科技公司、投資機構和醫療公司，受害IP類型佔比和對應的城市佔比。

Operation HideBear基礎設施分佈情況如下：

這意味著MINEBRIDGE的活動並不是一個單純以經濟動機為目標，也存在竊取電子資訊技術和醫療技術的目的。MINEBRIDGE RAT最早由fireeye於2020年披露^[2],文中提到MINEBRIDGE可能是TA505的一個子集或者是一個全新的團伙，但是在後續其他廠商的報告中均將其歸因為TA505，從目前我們掌握的資訊來看我們更傾向於MINEBRIDGE是由一個新的威脅組來運營的，並且這個威脅組已經被微軟威脅情報中心披露為Storm-0978 (RomCom)^[3]，Operation HideBear活動所用的釣魚手法與Storm-0978類似，兩起活動同時存在對Advanced IP Scanner這款掃描器安裝包的偽造行為，更重要的是我們發現Operation HideBear活動和Storm-0978(RomCom)搭建仿冒網站所用的框架完全一致，所以我們有中等以上的信心認為Storm-0978(RomCom)、TA505、MINEBRIDGE這三者有著深厚的聯繫。

總結

目前，基於奇安信威脅情報中心的威脅情報資料的全線產品，包括奇安信威脅情報平臺（TIP）、天擎、天眼高級威脅檢測系統、奇安信NGSOC、奇安信態勢感知等，都已經支持對此類攻擊的精確檢測。

IOC

有關該組織的詳細IOC請聯繫奇安信威脅情報中心（ti.qianxin.com）

參考連結

點選閱讀原文至ALPHA 6.0

即刻助力威脅研判