朝鲜黑客被指从黑市购买Oracle Solaris 0day，入侵企业网络

报告指出，UNC1945 的常规目标包括电信、金融和咨询问题。

Mandiant 公司表示，虽然 UNC1945 可追溯至2018年，但直到今年早些时候因为利用 Oracle Solaris 操作系统中的一个0day 才引起他们的注意。

该0day 的编号是 CVE-2020-14871，存在于 Solaris Pluggable Authentication module (PAM) 中，可使 UNC1945 绕过认证程序并在遭暴露的 Solaris 服务器上安装后门 SLAPSTICK。

Mandiant 公司表示，之后黑客使用该后门当作入口点，在企业网络中启动侦察活动并横向移动到其它系统中。为避免被检测到，该组织下载并安装了运行 Tiny Core Linux OS 其中一个版本的 QEMU 虚拟机。

这个自定义 Linux 虚拟机通过多款黑客工具预装如网络扫描器、密码转储器、exploit以及侦察工具集，可使 UNC1945 扫描企业内部网络中的弱点并横向移动到多个系统中，而不管机器运行的是 Windows 还是基于 *UIX 的系统。

Mandiant 表示发现UNC 1945 使用了多种开源渗透测试和安全工具，同时也使用了恶意软件链。这些开源工具集表示 Mimikatz、Powersploit、Responder、Procdump、CrackMapExec、PoshC2、Medusa 和 JBoss 漏洞扫描器，这些都是网络安全圈子熟知的工具。

但是，UNC1945 还展示了创建以及运行自定义恶意软件的能力。Mandiant 认为 UNC1945 的入侵活动和各种新旧恶意软件链之间存在关联，如 EVILSUN、LEMONSTICK、LOGBLEACH、OKSOLO、OPENSHACKLE、ProxyChains、PUPYRAT（即 Pupy）、STEELCORGI、SLAPSTICK、TINYSHELL等。

Mandiant 认为 UNC1945 从公开的黑客论坛上购买了 EVILSUN（可使他们利用该 Solaris 0day 并植入 SLAPSTICK 后门）。

该公司指出，他们在2020年4月某黑市网站上发现了以3000美元出售“Oracle Solaris SSHD 远程 root exploit” 的广告。该公司表示，在一次调查中发现该漏洞遭利用的迹象后，在今年早些时候将该 0day 漏洞告知 Oracle。Oracle 在十月份发布的安全补丁中修复了该漏洞。

Mandiant 公司表示，虽然 UNC1945已经活跃多年，他们在一次已证实的安全事件中发现了该 Solaris 0day，但这不意味着该 0day 未被用于攻击其它企业网络。它“并未发现数据提取的证据，因此无法判断UNC1945 组织发动入侵活动的目标”。

在该组织发动的其中一次入侵活动中，将恶意软件部署为最终的 payload，但Mandiant 公司并未将该勒索软件攻击直接和 UNC1945 组织联系在一起，因为“可能该受害者环境的访问权限被出售给了其它组织”。

完整报告请见：https://www.fireeye.com/blog/threat-research/2020/11/live-off-the-land-an-overview-of-unc1945.html