EastWind攻擊行動背後是與中國關聯的駭客組織APT27及APT31
自2024 年 7 月底開始,發生一系列針對性的網路攻擊事件,其目標鎖定在俄羅斯政府組織和 IT 企業所使用的數十個系統,據瞭解這一系列攻擊事件與中國關聯的 APT27 和 APT31 駭客組織有關。
俄羅斯電腦安全公司Kaspersky (卡巴斯基) 日前發現該系列攻擊行動,並將之稱為“EastWind” (東風行動),報告稱該行動使用了更新版的CloudSorcerer 後門程式,目標是俄羅斯政府。在 2024 年 5 月類似的網路間諜活動中,也發現有使用相同的後門程式。
要特別注意的是CloudSorcerer 攻擊行動並不局限於俄羅斯,在 2024 年 5 月, 電子郵件防護廠商Proofpoint 記錄了一次針對美國智庫的攻擊事件,其中也有使用CloudSorcerer。
EastWind東風攻擊手法
網路攻擊者先寄出帶有 RAR 檔案附件的網路釣魚電子郵件,其中含有用來安裝惡意軟體的 Windows 捷徑。攻擊者藉由雲端儲存服務 Dropbox 向惡意軟體發出指令,以安裝額外的木馬程式,像是網路間諜組織APT31使用的工具就是這類,另外還有一種名為 GrewApacha 的更新版CloudSorcerer後門程式也是。
卡巴斯基發布的報告中提到:「攻擊者使用一種典型的 DLL (動態連結程式庫) sideloading (側載入) 技術:當desktop.exe執行檔啟動時,惡意的 VERSION.dll 程式庫就會載入到對應的程序之中。」 「這個程式庫是一組包含 VMProtect 工具的後門程式。一旦啟動,它會嘗試使用hardcoded (編碼寫死) 的授權憑證來連結 Dropbox 雲端服務。當連接到雲端,後門程式就會從儲存裝置內含的< computer name >/a.psd檔之中讀取要執行的指令。」
然後惡意軟體將這些指令的執行結果上傳到雲端儲存的檔案 < computer name >/b.psd 之中。
EastWind 攻擊行動中也使用變異版本的 CloudSorcerer 後門程式 (一種名為 GetKey.exe的工具程式),其中包含 VMProtect 保護程式,這個惡意軟體的目的是用於加密只能在受駭使用者電腦上解密的傳輸資料。
其他在EastWind攻擊中發現的植入程式還有一種透過 CloudSorcere後門程式帶入的PlugY,這是一個前所未知的新種後門程式。
PlugY 在 C2(Command and Control) 通訊部份具備高度多功能性,包括能夠執行檔案操作指令、shell (外層) 指令執行、螢幕截圖、鍵盤記錄和剪貼簿監控等等。
卡巴斯基的分析指出,PlugY後門程式中使用的程式碼之前曾在 APT27 駭客組織的攻擊中出現過。
卡巴斯基評論道,由於 EastWind 攻擊中使用的後門程式明顯不同,因此要在被入侵的電腦上偵測出所有的後門程式是有相當難度。需要注意的項目包括:
- 「C:\Users\Public」目錄中超過 5MB 的 DLL (動態連結程式庫) 檔案
- 檔案系統中未簽署的「msedgeupdate.dll」檔案
- 每個使用者登入時啟動的「msiexec.exe」執行程序
在 EastWind攻擊行動中,駭客組織使用精密且高階的程式工具組合來掩飾網路流量中的惡意行動。攻擊者利用 GitHub、Dropbox、Quora 等常見的網路服務以及 LiveJournal 和 Yandex.Disk 等俄羅斯的系統平台,將這些平台用作命令伺服器。EastWind行動涉及到兩個與中國關聯的 APT 駭客組織,APT27和APT31,這部分也顯示出 APT 組織是如何地緊密合作並且共享惡意軟體工具。
EastWind行動相關的部分的入侵指標(IOCs):
| 1f5c0e926e548de43e0039858de533fc |
| 67cfecf2d777f3a3ff1a09752f06a7f5 |
| bed245d61b4928f6d6533900484cafc5 |
| d0f7745c80baf342cd218cf4f592ea00 |
| f6245f64eaad550fd292cfb1e23f0867 |
| faf1f7a32e3f7b08017a9150dccf511d |
| 426bbf43f783292743c9965a7631329d77a51b61 |
| bce22646f0d7c3abc616996cd08b706590e724e1 |
| c0e4dbaffd0b81b5688ae8e58922cdaa97c8de25 |
| e1cf6334610e0afc01e5de689e33190d0c17ccd4 |
