美資安研究揭中國APT駭客組織Winnti以企業ERP系統存在的漏洞,作為切入點,數年來一直竊取涉及美歐亞30企業的商業機密

資安公司Cyber​​eason的研究指出,Winnti(也稱為 APT41、Blackfly 和 BARIUM)是一個效力於中國政府的駭客組織,自 2010 年以來一直很活躍,以複雜、隱秘和專注於竊取技術機密而聞名,這次的發現是Winnti以名為CuckooBees的間諜行動多次的入侵製造、科技、能源和製藥等產業的約30家跨國公司並竊取了大量商業機密和智慧財產,該網路竊密行動至少可以回溯到2019年,但直到最近才曝光。Cyber​​eason 發布了兩份與 CuckooBees 行動相關的報告,第一份是關於Winnti 的入侵策略和獨特性,第二份則是關於Winnti所使用的惡意軟體和漏洞的深入分析。 

攻擊鏈和有效負載部署是通過“紙牌屋”方法實現的,每個組件都依賴於其他組件才能正常運行,這使得單獨分析每個組件變得困難。

根據Cybereason的調查,自網路間諜活動開始以來,Winnti迄今已從 30 多個全球組織竊取了數百 GB 的數據包括藍圖、圖表、配方和與製造相關的專有數據和其他商業機密。此外,Cyber​​eason表示,Winnti還收集了有關目標組織的網路架構、用戶帳戶、憑證、客戶數據和業務的詳細資料,攻擊者可以在未來的攻擊中利用這些資料。Cyber​​eason的調查還揭示從CuckooBees行動中發現Winnti的武器庫中新增了前以被未記錄名為DEPLOYLOG的新惡意軟體,其有效負載隱藏和檢測規避是基於對 Windows CLFS 功能的濫用。此外,Winnti也在攻擊中使用已知的惡意軟體,包括Spyder Loader,PRIVATELOG和WINNKIT等。

入侵調查揭示了入侵始於駭客利用企業資源規劃 (ERP)平台中存有的遠端程式碼執行漏洞,在ERP Web 應用程式伺服器上部署JSB WebShell後門以保持持久性,並開始網路偵察和憑證轉儲,這進一步允許橫向移動,最終導致敏感數據從關鍵伺服器和員工的端點外洩。在CuckooBees 行動中使用Winnti多種持久性技術。第一個是刪除 WebShell 的 VBScript 版本,使用 wscript 執行它,然後將結果複製到外部可存取的檔案夾中。第二種持久性方法提供了一個額外的備份切入點,涉及修改 WinRM 遠端管理協議以啟用 HTTP 和 HTTPS 偵聽器以進行遠端 shell存取。

觀察到的Winnti攻擊鏈,Photo credit: Cybereason

第三種方法利用簽名的內核 rootkit,而第四種技術濫用合法的IKEEXT和PrintNotify Windows 服務來側載 Winnti DLL 並保持持久性。最初的偵察使用內置的 Windows 命令來收集有關受感染服務器的信息。一旦在多台機器上建立了立足點,Winnti 就開始使用計劃任務來執行不同機器之間不同的batch scripts,並根據攻擊者的目標使用不同的命令。憑證轉儲使用了兩種方法:reg save 命令和名為MFSDLL.Exe的未知工具,已知的 reg save 用於轉儲SYSTEM、SAM和SECURITY註冊表配置單元,使攻擊者能夠在本地破解密碼的hash。Cyber​​eason 無法恢復 MFSDLL 的樣本,但已經了解了它的使用方式和載入內容,它載入了一個名為mktzx64.dll的 DLL ,該 DLL與 Mimikatz 工具的使用有關。

Winnti 使用受被入侵感染的網域管理員憑證,進而使用scheduled tasks在數十台受感染的電腦上執行命令,使其能夠橫向移動並使用被盜憑證感染大量主機。

對於數據收集,攻擊者使用重新命名的中文版本的WinRAR來建立包含被盜數據的密碼保護檔案,並被重新命名為rundll32.exe偽裝成其他Windows系統檔案。

Cybereason認為,在諸如CuckooBees行動等駭客攻擊活動中最常見被利用的安全漏洞包含因為系統未打修補、網路分段不足、資產不受管理、帳戶被遺忘以及缺乏多因素身份驗證產品。儘管這些漏洞看起來很容易修復,但當今的安全性很複雜,大規模實施緩解措施並不總是那麼容易。防禦者應遵循 MITRE或類似框架,以確保他們擁有適當的可見性、檢測和補救能力來保護他們的最關鍵的資產。

另外,鑑於攻擊的複雜程度以及該活動於 2019 年發起且直到去年才被發現的事實,全球可能還有更多受害者。

中國APT駭客組織Winnti的分支Grayfly來襲!利用”SideWalk” 後門鎖定北美亞洲等地,台灣也榜上有名

引言: 還記得中油、台塑化、封測廠力成遭惡意程式攻擊事件嗎? 另外在2020總統就職典禮前夕,發生了假冒總統府寄釣魚信件給立委的資安事件。中國APT 駭客組織對台灣的攻擊,從不間斷。尤其耳熟能詳的Winnti Group更是赫赫有名, 最近包含ESET和賽門鐵克的研究人員對SideWalk後門發表了研究報告。當中驚見台灣已被鎖定成為攻擊對象。

Photo Credit: ESET

背景:

2020 年 9 月,美國司法部起訴 5 名中國公民,他們被指控為國家資助的駭客組織Winnti(又名APT41)的成員。他們三人(蔣勵志、錢川和傅強)參與了Winnti 分支小隊Grayfly(又名 GREF 和 Wicked Panda)的工具開發和攻擊策略。據了解,攻擊者擅長透過Exchange、SQL Server、MySQL入侵受害組織。最近發現Grayfly利用一個名為SideWalk的後門集中攻擊多國的電信公司、IT產業、媒體和金融機構等,台灣也是受害者之一。SideWalk後門與該分隊使用的另一個Crosswalk後門(Backdoor.Motnug )有很多相似之處,SideWalk 是一個模組化後門,可以動態載入從其 C&C 伺服器發送的附加模組,使用 Google Docs 作為情報投放點解析器(Drop Dead Resolver),並使用 Cloudflare Workers作為C2中繼站,它還有處理透過代理伺服器(Proxy)連線的通訊能力。

一旦網路遭到Grayfly入侵,Grayfly會將其自訂的後門安裝到其他系統上,允許他們全面遠端存取網路和代理伺服器連線,從而允許他們存取目標網路中難以到達的部分。Grayfly將裝載定製版本的Mimikatz 憑證刪除工具,該工具使攻擊者能夠從遠端存取系統和代理伺服器連線,使攻擊者能夠存取目標網路的任何部分。除了Trojan木馬自定義裝載機之外,Grayfly 還使用SideWalk後門。

研究人員發現,Grayfly最近的活動利用SideWalk特別著重於攻擊 MySQL 伺服器,有許多警報說明此類 ProxyShell 攻擊的數量不斷增加。另外在針對近 2000 個易受攻擊的 Microsoft Exchange 伺服器至少啟動了 140 個 web shell。

根據研究報告,ESET歸納的受害組織如下:

*澳門、香港、台灣學術界

*台灣的宗教組織

*台灣某電腦及電子產品製造商

*東南亞的政府機構

*韓國的電子商務平台

*加拿大的教育部門

*印度、巴林和美國的媒體公司

*一家位於美國的電腦零售業者

* 喬治亞(格魯吉亞)當地政府

*韓國和新加坡尚未確認的組織

與 CROSSWALK 一樣,在初始化期間,SideWalk 在執行開始時使用循環的ROR4計算 shellcode 的32位hash值。

報告顯示 SideWalk 後門收集類似的產出物(目標數據): –

*IP 配置

*操作系統版本

*使用者名

*電腦名稱

*檔名

*Current process ID

*Current time

中國對台灣的威脅早已跨入網路攻擊,攻擊對象從科技業、政府機關至油水電等民生基礎設施無所不在,因此近年來台灣的企業及政府部門對資安的意識也不斷提高,然而攻擊事件仍頻頻傳出,那麼該如何防範?根據美國的MITRE ATT&CK框架,旗下的Mitre Engage(Shield) ,企業應反被動為主動,改善作戰計畫,在防守者可防禦範圍之內,進一步控制對手,使用網路欺敵(Deception) 至關重要,透過亦真亦假的欺敵手段,來誤導對手,藉由隱瞞關鍵事實與虛構環境和系統,讓攻擊者無法分辨和評估,或繼續進行行動。縱深防禦不是一站式服務,企業必須具有欺騙能力才能實現主動防禦覆蓋。Mitre Engage強調的是,欺敵可以說是Mitre主動防禦方法的核心。

另外,積極修補系統弱點、佈署資安偵測防禦系統以及存取政策緊縮,仍是應對針對性攻擊的最佳實踐方式,除了減低被攻擊成功的機率,在事故發生時更能及早發現,降低損害與衝擊;而系統與檔案備份則是事故發生後唯一的善後方法

有關SideWalk後門的入侵指標(Indicator of compromise -IOCs):

SHA 256:

b732bba813c06c1c92975b34eda400a84b5cc54a460eeca309dfecbe9b559bd4

b3eb783b017da32e33d19670b39eae0b11de8e983891dd4feb873d6e9333608d

25a7c1f94822dc61211de253ff0a5805a0eb83921126732a0d52b1f1967cf079

SHA 1:

9d1940ed48190277c9d98ddbd7e4ea63ade5ceae

8c877f583dd1e317af4eb9e15c2d202f2f63e0d1

4c8194c94e25d51a062fab3e0a3edcec349fe914

MD 5:

7007877ec8545265722325231b434c79

5251b3f47b1ae8feb79642011b3a925b

Source:

https://www.welivesecurity.com/2021/08/24/sidewalk-may-be-as-dangerous-as-crosswalk/
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/grayfly-china-sidewalk-malware

中國網軍濫用直播軟體OBS,在賭博網站上傳播 BIOPASS木馬程式

Key Points:

*研究人員在針對中國賭博網站用戶的攻擊中發現了新的RAT(遠端存取木馬程式) “BIOPASS”

*BIOPASS利用 OBS Studio 軟體向攻擊者直播受害者的螢幕

*已經發現 BIOPASS 惡意軟體與Winnti/APT41 的中國APT駭客組織之間存在聯繫

Trend Micro研究人員警告說,一種新的惡意軟體正在通過水坑攻擊(Watering hole)來入侵中國的線上賭博公司,以部署 Cobalt Strike beacon程式或新的Python 的後門程式BIOPASS RAT,該後門利用 Open Broadcaster Software(簡稱為OBS Studio) 的直播實況串流應用程式直播受害者的螢幕給攻擊者。研究人員指出RAT 已被偽裝在 Adobe Flash Player 或 Microsoft Silverlight 的合法安裝程式中(這兩種軟體已到產品生命週期終止End of Life),但在中國仍然使用。根據上週TrendMicro的研究報告,攻擊者在中國賭博網站的技術/聊天支援頁面上植入的惡意 JavaScript 程式將用戶重新導向到攻擊者用於感染受害者的頁面。

具體來說,那些安裝了惡意 Flash Player 和 Silverlight 應用程式的人,不止安裝了合法版本的軟體同時也將BIOPASS木馬程式安裝下去,從而使攻擊者可以完全控制他們的系統。

研究人員在分析中指出,BIOPASS具有在其他惡意軟體中發現的基本功能,例如檔案系統評估、遠端桌面存取、檔案外洩和 shell 命令執行。同時它還能夠通過竊取web browser和即時通訊客戶端數據來洩露受害者的私人資訊。

雖然 BIOPASS 看起來與任何其他遠端存取木馬程式一樣,但它還帶有任何其他惡意軟體中沒有的新功能——即它在受害者的系統上安裝 OBS Studio軟體。OBS Studio 是個免費且開放原始碼的影音串流直播工具,可支援 YouTube, YouTube Gaming, Twitch, Facebook Live, Smashcast, DailyMotion, Twitter…等三十多個影音平台與直播服務。

BIOPASS 除了具有運行典型間諜軟體範圍的一系列功能外,還配備通過即時通訊遞協定 (RTMP) 將即時串流流建立到攻擊者控制下的遠端服務,此外還可使用 Socket.IO 協定與C2伺服器通信。

趨勢科技的研究人員表示,他們發現 BIOPASS 與 Winnti Group(又名APT41)相關的 TTPs 之間存在重疊,Winnti Group是一個專門從事網路間諜攻擊的中國政府長期資助的對象,官方色彩非常濃厚。2020年5月中,法務部調查局曾就中油、台塑化及封測廠力成遭惡意程式攻擊,研判為Winnti Group所為。

Winnti除了發動的路間諜攻擊外,過去也曾對線上遊戲公司發動於經濟動機的攻擊,以謀取利益。

有關BIOPASS RAT的情資:

https://otx.alienvault.com/pulse/60ec06ea60906a8a9c69cf23