根據資安業者Symantec的報告,被追踪為Antlion的一個中國國家級駭客集團使用了一個名為xPack 的客製化後門,在 2020 年至 2021 年期間,針對台灣實體的網路間諜活動中鎖定了金融組織和製造業來發動攻擊,以竊取機密資料,該後門至少數月來未被發現。Symantec研究人員的分析,攻擊者在受感染的系統上部署的xPack後門,能廣泛地存取受害機器,允許攻擊者遠端執行WMI指令,也有證據表示攻擊者在後門中同時利用了EternalBlue的漏洞。
據悉,xPack後門允許攻擊者遠端執行 WMI 命令並通過 SMB 掛載共用,以便將數據從 C2 伺服器回傳到他們。攻擊者還使用該惡意軟體來瀏覽網頁,將其用作proxy來掩蓋他們的 IP 地址。
研究人員發現Antlion在攻擊在一家台灣製造業時,駭客在受感染的網路中停留了 175 天,另一次在攻擊金融業組織時停留了長達 250天之久,雖然目前尚不清楚駭客最初的感染途徑,但由於研究人員在一次攻擊中觀察到攻擊者利用 MSSQL服務執行系統命令,故推測攻擊者利用了 Web應用程式或服務進入受害組織。
xPack 後門是一個 .NET程式啟動器,可獲取並執行 AES 加密的有效負載並支援多個命令。xPack後門可以作為獨立應用程式或服務(xPackSvc變種)來執行。Symantec進一步說,在針對臺灣的攻擊行動中,xPack惡意軟體及其相關有效負載用於初始存取;執行系統命令、刪除後續惡意軟體和工具,以及暫存數據以進行資料竊取。據了解,攻擊者還使用了一個客製化鍵盤記錄器(keylogger)和三個客製化下載器。
Symantec研究人員發現 Antlion 在針對臺灣活動中使用了以下客製化工具:
*EHAGBPSL下載器–用 C++ 編寫的客製化下載器——由 JpgRun下載器加載
*JpgRun loader: 用 C++ 編寫的客製化下載器– 似於xPack,從命令行讀取解密密鑰和檔名 – 解碼檔並執行它
*CheckID – 用 C++ 編寫的客製化下載器– 基於 BlackHole RAT 使用的下載器
*NetSessionEnum – 客製化 SMB期間枚舉工具
*ENCODE MMC – 客製化綁定/反向檔案傳輸工具
*基於 Mimikatz 憑證竊取器的 Kerberos golden ticket工具,用來偽造用戶
專家們還注意到,Antlion還使用了幾個受害電腦裡現成的工具(Living -off -the -land)包括PowerShell、WMIC、ProcDump、LSASS 和 PsExec等,並同時開採CVE-2019-1458權限擴張漏洞,進行權限提升和遠端計劃任務來執行他們的後門,或藉由開採WinRAR 的合法版本來竊取資料,並定期返回受感染的網路以再次啟動 xPack,從受感染的組織竊取用戶憑證。
據信 Antlion駭客組織至少從 2011 年起就參與了多種網路間諜活動,因此十多年來,一直對各組織構成威脅。
有關Antlion使用客製化後門xPack瞄準台灣金融機構的情資:
SHA 256: f7cab241dac6e7db9369a4b85bd52904022055111be2fc413661239c3c64af3d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 1:
ea39084f647ce3c9f2892118d850a05dd65d750b
d7b0ba4958f88b3e7606ee536c90cb08ac258815
ca3b0cbff477bc67d2a71731d93a420f2e298be0
MD5:
b51aa600db0615a4971ce75919a93f4f
4a448d283c8b112115a8e3807fa3744a
0ee7731c202b82c1822e563428a51da4
CVE:
CVE-2019-1458
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”