近期中国骇客组织的攻击行动频频,不少研究人员纷纷对于相关资安事故提出警告,其中恶名昭彰的骇客组织APT41动态尤其引人关注,有研究人员公布这些骇客的最新攻击行为。
资安业者Mandiant、Google威胁分析团队(TAG)联手,究竟这些骇客如何长时间于受害组织的网路环境持续活动?研究人员指出,对方在Apache Tomcat的管理伺服器当中,植入了AntSword、BlueBeam两款Web Shell来达到目的。此外,骇客也利用这些Web Shell执行certutil.exe,下载名为DustPan的恶意程式载入工具,从而暗中执行名为Beacon的恶意酬载。
骇客利用DustPan将Beacon载入以chacha20演算法加密的记忆体区块,一旦Beacon启动,就会使用Cloudflare Workers做为C2通道,或是以Cloudflare代管的自我管理基础设施进行通讯。
在APT41的入侵过程里,他们也运用另一款恶意程式载入工具DustTrap,解密恶意酬载并于记忆体内执行,意图留下最少的作案痕迹。而该恶意酬载接收骇客命令的方法,主要是透过APT41架设的C2基础设施,但研究人员也发现利用外流的Google Workspace帐号的情况。
DustTrap则是具备多阶段外挂程式的攻击框架,并能搭配多种元件运作。该恶意软体的外挂程式载入方式,是借由木马化的Windows资料夹DLL程式库,并搭配大小足够的.TEXT段落,来存放每个外挂程式的内容,并于记忆体内执行。
值得留意的是,这个遭窜改的档案在进行内容关闭程序之前,透过.TEXT段落存放的原始档案内容,就会还原存放到磁碟上,这么做的目的,自然是为了回避EDR系统的侦测。研究人员至少发现15种外挂程式,这些可被用于操作Shell、存取档案、控管处理程序、网路侦察、收集系统资讯、窜改AD设定等工作。