骇客先是使用不同的C2通道避免再度遭到封锁,然后改变攻击方式,他们使用名为Hui的恶意程式载入工具,然后将Cobalt Strike的Beacon注入远端桌面连线程式mstsc.exe。但在研究人员察觉并进行阻断后,骇客改用公开的软体试图继续于受害组织的网路环境活动。
由于研究人员封锁了C2工具,骇客改以事先取得的外流帐密资料,滥用网页应用程式的上传功能部署Web Shell,借此在伺服器上执行命令,将特定的DLL程式库复制到网页资料夹,并将其伪装成PDF档案,而这些活动包括进行侦察的过程,骇客总共在45分钟内完成,算是相当迅速。
事隔2个月,这些骇客再度存取受到感染的网页伺服器,并透过Web Shell部署名为Havoc的开源C2框架进行后续侦察。后来,研究人员也看到其他应用程式伺服器被植入Web Shell及Havoc的情况,其中他们看到利用Havoc植入名为SharpHound的开源工具,来侦察AD基础架构的情形。
除此之外,他们也看到这些骇客运用其他攻击行动的工具作案。去年10月,骇客使用DLL挟持手法部署C2工具,并滥用含有漏洞的合法软体,借由受害组织尚未列管的装置从事远端攻击,过程中使用网路探测工具Impacket的模组atexec来进行,目的是想要从外部进行远端桌面连线(RDP)来存取内部网路环境。
接著,骇客进一步寻找能用来进行DLL侧载的服务,并采用DLL挟持手法来设定后门,使用恶意酬载取代磁碟区阴影复制服务的DLL元件。后来到了12月,这些骇客利用DLL侧载手法,借由iexplore.exe载入恶意软体,目的是窜改防火墙配置。研究人员指出,这些骇客进行一系列的侦察和收集帐密工作,并取得网路基础架设的配置资料。
研究人员指出,这些骇客使用了Cluster Alpha常见的DLL侧载手法,代表从事这3个攻击行动的骇客彼此互通有无,并不断开发新的回避侦测手法。