top of page

雲端安全保護秘辛:攻擊者如何利用雲端服務進行間諜活動

在過去一年中,網路攻擊者,包括國家支持的攻擊者,使用合法雲端服務的情況顯著增加。隨著攻擊者開始意識到雲端服務能夠提供低調且低成本的基礎設施,利用合法雲端服務的威脅行為者數量今年有所增長。透過使用 Microsoft OneDrive 或 Google Drive 等可信賴的服務進行攻擊,他們的行為比使用駭客控制的基礎設施更難被發現。


在過去幾週內,Symantec 的威脅獵人團隊已識別出三個使用雲端服務的間諜行動,並發現了進一步開發中的工具。威脅獵人團隊的調查員 Marc Elias 在拉斯維加斯的 Black Hat 會議上展示這些發現


GoGra

Symantec 發現了一個之前未見過的後門,命名為 GoGra(Trojan.Gogra),該後門於 2023 年 11 月被部署在南亞的一家媒體機構上。GoGra 是用 Go 語言編寫的,並利用 Microsoft Graph API 與托管於 Microsoft 郵件服務上的指揮控制(C&C)伺服器進行交互。


Graph 是微軟設計的 API,旨在促進對 Microsoft 雲端服務上資源的訪問,例如 Microsoft 365。身份驗證使用 OAuth 訪問令牌。


GoGra 被配置為從 Outlook 用戶名為「FNU LNU」的郵件中讀取主題以「Input」開頭的消息。它使用 AES-256 算法的密碼區塊鏈(CBC)模式解密消息內容,使用的密鑰為:b14ca5898a4e4133bbce2ea2315a1916。


GoGra 通過 cmd.exe 輸入流執行命令,並支持一個名為「cd」的額外命令,用於更改當前目錄。在執行命令後,它會加密輸出並將其發送給同一用戶,主題為「Output」。


對該後門的分析顯示,它很可能是由 Harvester 開發的,Harvester 是 Symantec 在 2021 年揭露的一個由國家支持的團體,專門針對南亞的組織。GoGra 在功能上類似於已知的 Harvester 工具 Graphon,Graphon 是用 .NET 編寫的。除了使用的編程語言不同外,Graphon 使用了不同的 AES 密鑰(juBvYU7}33Xq}ghO),沒有額外的「cd」命令,並且沒有硬編碼的 Outlook 用戶名來進行通信。用戶名是從 C&C 伺服器獲取的。


Google Drive 外洩

Firefly 間諜組織在針對東南亞一個軍事組織的攻擊中部署了一種此前未見的資料竊取工具。分析表明,該工具是一個包裹在 Python 外層的公開可用 Google Drive 客戶端


這個工具被配置為搜尋 System32 目錄中的所有 .jpg 檔案,並使用硬編碼的刷新令牌將它們上傳到 Google Drive。


許多被竊取的檔案實際上並非 .jpg 圖像,而是經過加密的 RAR 檔案,這些檔案可能是由攻擊者手動創建,或由其他攻擊工具複製並準備進行資料竊取。被竊取的資料包括文件、會議記錄、通話記錄、建築設計圖、電子郵件資料夾及會計資料。


Grager

一種名為 Trojan.Grager 的後門於 2024 年 4 月部署在台灣、香港及越南的三個組織中。對該後門的分析表明,它使用 Graph API 與 Microsoft OneDrive 上的 C&C 伺服器進行通訊。Grager 是從一個模仿開源壓縮軟體 7-Zip 的域名下載的 (hxxp://7-zip.tw/a/7z2301-x64[.]msi)。


上述 MSI 檔案充當安裝程式,是一個被植入木馬的 7-Zip 安裝程式,該程式將真實的 7-Zip 軟體安裝至文件夾 "C:\Program Files (x86)\7-Zip",並在該目錄中安裝一個名為 “epdevmgr.dll” 的惡意 DLL、一個 Tonerjam 惡意軟體的副本,以及一個名為 "data.dat" 的加密 Grager 後門。


Tonerjam 惡意軟體是一個啟動器,解密並執行一個 shellcode 載荷,而在此情況下,該載荷便是 Grager 後門。該後門從檔案體內的數據塊中解密 OneDrive 的 client_id 和刷新令牌。該後門支持以下命令:

  • 獲取機器資訊,包括機器名稱、用戶、IP 地址及機器架構

  • 下載/上傳檔案

  • 執行檔案

  • 獲取檔案系統資訊,包括可用磁碟、磁碟大小及磁碟類型


    這個工具與被稱為 UNC5330 的組織之間存在初步的聯繫。Symantec 觀察到與 UNC5330 相關的樣本也投放了名為 epdevmgr.dll 的 Tonerjam 惡意軟體。UNC5330 被 Mandiant 描述為 “疑似中國聯繫的間諜行動組織”,該組織在 2024 年初利用 Ivanti Connect Secure VPN 漏洞(CVE-2024-21893 和 CVE-2024-21887)來入侵設備。


MoonTag

Symantec 還發現了另一個名為 MoonTag(Trojan.Moontag)的後門,該後門目前似乎在開發中。最近幾週內,幾個變體的後門已被上傳到 VirusTotal,雖然沒有完全的樣本。該惡意軟體,可能由開發者稱為「Moon_Tag」,基於發佈在 Google Group 的代碼。所有發現的變體都包含與 Graph API 通信的功能。

MoonTag 樣本符合名為「MAL_APT_9002_SabrePanda」的 YARA 規則,該規則檢測來自 Sabre Panda 威脅行為者使用的 9002 RAT 惡意軟體家族的樣本。我們沒有發現強有力的證據將 MoonTag 歸屬於 Sabre Panda,但根據 Google Group 帖子中的中文語言和攻擊者使用的基礎設施,我們可以高確信將 MoonTag 後門歸因於中文說話的威脅行為者。


Onedrivetools

另一個後門(Trojan.Ondritols),其開發者似乎稱之為 Onedrivetools,已在針對美國和歐洲的 IT 服務公司中部署。這是一個多階段的後門,第一階段是一個下載器,該下載器通過 Microsoft Graph API 進行身份驗證,並從 OneDrive 下載第二階段的有效負載並執行它。


主要有效負載將從 GitHub 下載一個公共文件。然後,它會為每台感染的機器在 OneDrive 中創建一個名為 deviceId_n_<ip address> 的文件夾,並上傳以下文件到 OneDrive,以向攻擊者發送新感染的狀態:

/v1.0/me/drive/root:/deviceId_n_<ip address>/status


然後,它將繼續循環,使用 Graph API 進行身份驗證,創建一個名為 heartbeat 的文件,內容為「1」,並從名為 cmd 的文件中獲取新的執行命令,這兩個文件都位於受害者文件夾中。執行的命令的輸出將保存在相同的 cmd 文件中。該後門還可以下載受害者的文件,並從感染的機器上傳文件到 OneDrive。

攻擊者使用了一種稱為 Whipweave(SHA256: 30093c2502fed7b2b74597d06b91f57772f2ae50ac420bcaa627038af33a6982)的隧道工具,這可能源於開源的中國 VPN Free Connect(FCN)項目,用於連接到一個名為 Orbweaver 的 Operational Relay Box(ORB)網路,該網路旨在混淆攻擊的來源。


快速發展的趨勢

在 2024 年 5 月,Symantec 揭露了 BirdyClient,一種新的惡意軟體,使用 Graph API 與 OneDrive C&C 伺服器進行通信。該惡意軟體被用於對烏克蘭的一個組織進行攻擊。


雖然利用雲端服務進行指揮和控制並不是一種新技術,但越來越多的攻擊者最近開始使用這種方法。三年前,Volexity 發布了有關 BlueLight 的資訊,該惡意軟體由與北韓相關的 Vedalia 間諜團體(即 APT37)開發。接著,Symantec 在 2021 年 10 月發現了 Graphon 後門。


俄羅斯 Swallowtail 間諜團體(即 APT28,Fancy Bear)被發現採用了這種策略,在發現 Graphite 後,該後門使用 Graph API 與 OneDrive 帳戶進行通信,該帳戶充當 C&C 伺服器。在 2023 年 6 月,Symantec 發現了 Backdoor.Graphican,該後門被 Flea(即 APT15,Nickel)團體在針對美洲的外交部門的行動中使用。

目前,部署利用雲端服務的威脅的行為者數量顯示,間諜行為者顯然正在研究其他團體創造的威脅並模仿他們認為成功的技術。


保護/緩解

如需最新的防護更新,請造訪 Symantec 防護公告。


威脅指標 (IOC)

如果某個IOC是惡意的,且我們可以獲取該文件,Symantec端點產品將會檢測並阻止該文件。

d728cdcf62b497362a1ba9dbaac5e442cebe86145734410212d323a6c2959f0f – Trojan.Gogra

f1ccd604fcdc0034d94e575b3709cd124e13389bbee55c59cbbf7d4f3476e214 – Trojan.Gogra

9f61ed14660d8f85d606605d1c4c23849bd7a05afd02444c3b33e3af591cfdc9 – Trojan.Grager

ab6a684146cec59ec3a906d9e018b318fb6452586e8ec8b4e37160bcb4adc985 – Trojan.Grager

97551bd3ff8357831dc2b6d9e152c8968d9ce1cd0090b9683c38ea52c2457824 – Trojan.Grager

f69fb19604362c5e945d8671ce1f63bb1b819256f51568daff6fed6b5cc2f274 – Trojan.Ondritols

582b21409ee32ffca853064598c5f72309247ad58640e96287bb806af3e7bede – Trojan.Ondritols

79e56dc69ca59b99f7ebf90a863f5351570e3709ead07fe250f31349d43391e6 – Trojan.Ondritols

4057534799993a63f41502ec98181db0898d1d82df0d7902424a1899f8f7f9d2 – Trojan.Ondritols

a76507b51d84708c02ca2bd5a5775c47096bc740c9f7989afd6f34825edfcba6 – Trojan.Moontag

527fada7052b955ffa91df3b376cc58d387b39f2f44ebdcb54bc134e112a1c14 – Trojan.Moontag

fd9fc13dbd39f920c52fbc917d6c9ce0a28e0d049812189f1bb887486caedbeb – Trojan.Moontag

30093c2502fed7b2b74597d06b91f57772f2ae50ac420bcaa627038af33a6982 – Whipweave

hxxp://7-zip.tw/a/7z2301-x64[.]msi - Trojan.Grager download URL

hxxp://7-zip.tw/a/7z2301[.]msi - Trojan.Grager download URL

7-zip[.]tw – 7-Zip typosquatted domain

103.255.178[.]200 – MoonTag C&C

157.245.159[.]135 – Whipweave C&C

89.42.178[.]13 – Whipweave C&C

30sof.onedumb[.]com – Whipweave C&C


最佳防護實踐

  • 阻止貴組織未使用的雲端服務

  • 配置網路流量並監控網路異常,例如:大型文件上傳到雲端服務

  • 在適用的情況下使用應用程序白名單

  • 阻止非瀏覽器進程連接到雲端服務

  • 識別組織中的關鍵資產並監控它們是否有數據外洩

  • 啟用基於主機和雲端的審計日誌


MITRE TTPs

  • 建立帳戶:雲端帳戶

    • ID: T1585.003

    • 子技術:T1585 - 建立帳戶

    • 策略:資源開發

    • 描述:對手可能會在雲端提供商處創建帳戶,這些帳戶可用於針對。對手可以利用雲端帳戶進一步操作,包括利用雲端存儲服務如 Dropbox、MEGA、Microsoft OneDrive 或 AWS S3 存儲桶進行數據外洩或上傳工具。

  • 階段能力:上傳惡意軟體

    • ID: T1608.001

    • 子技術:T1608 - 階段能力

    • 策略:資源開發

    • 描述:對手可能會將惡意軟體上傳到第三方或對手控制的基礎設施,以便在針對過程中使用。惡意軟體可以包括有效負載、下載器、後補工具、後門和各種其他惡意內容。

  • 階段能力:上傳工具

    • ID: T1608.002

    • 子技術:T1608 - 階段能力

    • 策略:資源開發

    • 描述:對手可能會將工具上傳到第三方或對手控制的基礎設施,以便在針對過程中使用。工具可以是開源或封閉源,免費或商業。對手可能會上傳工具來支持他們的操作,例如通過將工具放在可以互聯網訪問的網絡伺服器上來使其在受害者網絡中可用,以實現入侵工具轉移(例如 PowerShell、Certutil)。

  • 命令和腳本解釋器:雲端 API

    • ID: T1059.009

    • 子技術:T1059 - 命令和腳本解釋器

    • 策略:執行

    • 描述:對手可能會濫用雲端 API 來執行惡意命令。

  • 通過 Web 服務外洩:外洩到雲端存儲

    • ID: T1567.002

    • 子技術:T1567 - 通過 Web 服務外洩

    • 策略:外洩

    • 描述:對手可能會將數據外洩到雲端存儲服務,而不是通過其主要的指揮和控制通道。雲端存儲服務允許存儲、編輯和從遠程雲端存儲伺服器檢索數據。


原文出處 Symatnec Enterprise Blogs


Comments

Couldn’t Load Comments
It looks like there was a technical problem. Try reconnecting or refreshing the page.
bottom of page