思科Talos资安研究员Chetan Raghuprasad指出,骇客先是利用CVE-2024-4577试图入侵目标主机,一旦得逞,他们就会执行PowerShell指令码,启动Cobalt Strike的反向HTTP Shell Code,建立远端存取受害主机的管道。
接著,这些骇客就会利用JuicyPotato、RottenPotato、SweetPotato等工具进行权限提升,从而以SYSTEM层级活动,然后使用「梼杌」建立恶意系统服务,以便持续在受害主机活动。
为了不让攻击行动东窗事发,骇客滥用命令列工具wevtutil执行寄生攻击(LOLBin),删除作业系统及应用程式的事件记录。此外,骇客也运用多种可公开取得的工具从事各式活动,例如:他们透过内网扫描工具fscan.exe及主机资安组态检查工具Seatbelt.exe进行侦察,找出可以横向程动的标的,以及使用群组原则物件夺权工具SharpGPOAbuse.exe企图透过群组原则物件(GPO),在整个网路环境执行恶意PowerShell指令码,最终以密码撷取器Mimikatz转存帐密资料及NTLM密码杂凑值。
除此之外,骇客也同时使用其他工具,包含可透过浏览器执行命令的框架Browser Exploitation Framework(BeEF)、模组化C2框架Viper C2,以及跨网站指令码(XSS)攻击框架Blue-Lotus。虽然研究人员尚未确定攻击者的身分,但骇客使用阿里云架设Cobalt Strike伺服器,并使用中国的DNS服务114DNS,这代表骇客很有可能来自中国。