乌克兰警告称,许多针对国家机构的攻击正利用名为“Merlin”的开源后期渗透及命令控制框架发动。
Merlin是一个基于Go的跨平台渗透工具,可以在GitHub上免费下载。它为安全行业专家提供了详尽的操作文档,帮助他们进行红队模拟攻击测试。
这个工具包含了诸多功能,不仅帮助红队专家在网络中找到漏洞,还可能被网络攻击者利用来入侵和控制网络。
- 支持使用TLS的HTTP/1.1和使用QUIC的HTTP/3 (HTTP/2)进行C2通信。
- 采用PBES2 (RFC 2898) 和 AES Key Wrap (RFC 3394) 加密代理流量。
- 使用OPAQUE非对称密码认证密钥交换(PAKE)和加密的JWT实现安全的用户认证。
- 支持CreateThread、CreateRemoteThread、RtlCreateUserThread和QueueUserAPC的shellcode执行技术。
- 使用域前置技术绕过网络过滤。
- 集成了Donut、sRDI和SharpGen的支持。
- 为了躲避检测,支持动态更改代理的JA3哈希和C2流量消息填充。
然而,正如我们在Sliver案例中看到的,Merlin现在正在被威胁行为者滥用,他们使用它来增强自己的攻击力量并通过受损网络进行横向扩散。
乌克兰应急响应小组CERT-UA报告称,它在一系列攻击中检测到了Merlin的存在。这些攻击始于一封冒充该机构(发件人地址:cert-ua@ukr.net)的钓鱼电子邮件,并声称向收件人提供了关于如何加强MS Office套件安全的指导。
样本恶意电子邮件 来源:CERT-UA
电子邮件附带一个CHM文件附件,如果打开,则会执行JavaScript代码,而该代码又会运行一个PowerShell脚本,该脚本会获取、解密并解压一个包含”ctlhost.exe”可执行文件的GZIP存档。
如果收件人运行这个可执行文件,他们的电脑会被MerlinAgent感染,从而使威胁行为者能够访问他们的机器、数据,并在网络中横向移动。
在系统上加载Merlin代理的可执行文件 来源:CERT-UA
CERT-UA已为此恶意活动分配了唯一标识符UAC-0154,第一次攻击是在2023年7月10日记录的,当威胁行为者在他们的电子邮件中使用了“无人机培训”诱饵。
使用Merlin等开源工具攻击政府机构或其他重要组织使得归因更为困难,留下的独特痕迹更少,这些痕迹可以链接到特定的威胁行为者。
本文转载自https://www.bleepingcomputer.com/news/security/hackers-use-open-source-merlin-post-exploitation-toolkit-in-attacks/,本文观点不代表墨知立场。