犯罪分子使用先進的RAT技術(shù)對越南進行攻擊
研究人員表示,在越南發(fā)現(xiàn)了一個針對政府和軍事機構(gòu)進行攻擊的高級網(wǎng)絡(luò)間諜攻擊活動,該攻擊活動中使用了一個專門用于實施間諜攻擊的遠程訪問工具(RAT)。
卡巴斯基研究人員稱,對其進一步的分析表明,這次活動是由一個被稱為Cycldek(又名Goblin Panda,APT 27和Conimes)的高級持續(xù)性威脅(APT)組織進行的,他們補充說,該組織自2013年以來就一直很活躍。
此次攻擊活動中使用的惡意軟件被稱為FoundCore,它會允許攻擊者進行文件系統(tǒng)控制、進程操縱、捕獲截圖和執(zhí)行任意命令等操作。
根據(jù)卡巴斯基在周一發(fā)布的分析報告,這代表了該組織在攻擊的復(fù)雜性方面有了重大的進步。研究人員表示,防止惡意代碼被殺毒軟件進行分析的技術(shù)對于該攻擊集團來說是首次使用的。
他們解釋說:"有效載荷的頭部(用以攻擊的代碼)被完全分開,僅包含幾個不連貫的函數(shù),通過這樣做,攻擊者使得研究人員對于惡意軟件進行逆向工程分析的難度大大增加。更重要的是,感染鏈的組件是緊密耦合的,這意味著單個部件有時很難甚至不可能單獨進行分析,這樣從而防止了惡意活動被分析。"
此次攻擊活動還使用了動態(tài)鏈接庫(DLL)的側(cè)載技術(shù),當(dāng)一個有合法簽名的文件被加載注入了一個惡意的DLL時,就會發(fā)生這種情況,這樣可以使得攻擊者能夠繞過安全產(chǎn)品的防護。
根據(jù)分析稱:"在這個最近被發(fā)現(xiàn)的攻擊活動中,DLL側(cè)載感染鏈會解密一個有效載荷的shellcode—FoundCore,它可以使得攻擊者能夠完全控制被感染的設(shè)備。"
FoundCore的4個惡意軟件線程
感染鏈中的最后一個有效載荷是一個遠程管理工具,它可以使操作者對受害者的機器實現(xiàn)完全的控制。研究人員稱,在這個工具被執(zhí)行后,惡意軟件會啟動四個線程。
第一個線程會通過創(chuàng)建服務(wù)來實現(xiàn)對機器的持久性控制。
第二個通過改變服務(wù)的Description、ImagePath和DisplayName等字段,隱藏服務(wù)的相關(guān)信息。
第三種是為與當(dāng)前進程相關(guān)聯(lián)的圖像設(shè)置一個空的訪問控制列表(DACL),防止對底層惡意文件的訪問。DACL是安裝在Active Directory對象上的一個內(nèi)部列表,它指定了哪些用戶和組可以訪問該對象,以及他們可以對該對象執(zhí)行何種操作。
最后一個線程引導(dǎo)程序執(zhí)行并與C2服務(wù)器建立連接。根據(jù)它的配置,它也可以將自己的副本注入到另一個進程中。與服務(wù)器的通信可以使用HTTPS或者對原始的TCP套接字進行RC4加密。
在感染鏈中,研究人員發(fā)現(xiàn)FoundCore還下載了兩個其他的間諜軟件。第一個是DropPhone,用于收集受害者機器的環(huán)境信息并將其發(fā)送到DropBox。第二個是CoreLoader,幫助惡意軟件逃避安全產(chǎn)品的檢測。
卡巴斯基的高級安全研究員Mark Lechtik在分析中說:"總的來說,在過去的一年里,我們注意到,許多黑客團體為他們的攻擊活動都投入了很多的資源,也提高了他們的技術(shù)能力。在這里,他們增加了更多的混淆技術(shù)以及更為復(fù)雜的反逆向工程技術(shù)。而這也預(yù)示著,這些組織可能正在計劃擴大他們的攻擊范圍。"
越南成為APT攻擊的目標(biāo)
卡巴斯基的分析顯示,此次活動中有數(shù)十臺電腦成為了攻擊目標(biāo),其中絕大多數(shù)(80%)位于越南。其他目標(biāo)則是在中亞和泰國。
該公司還發(fā)現(xiàn),大多數(shù)被攻擊的機器屬于政府或軍事部門。同時,還有包括外交、教育或醫(yī)療保健在內(nèi)的部門,也成了被攻擊的目標(biāo)。
Lechtik說:"現(xiàn)在看來,這次攻擊活動似乎更多的是對越南本地造成了威脅,但未來極有可能會在更多國家更多的地區(qū)發(fā)現(xiàn)FoundCore后門"
卡巴斯基高級安全研究員Pierre Delcher補充道:"更重要的是,這些黑客組織往往會相互分享他們的攻擊策略,如果在其他活動中也發(fā)現(xiàn)了同樣的混淆策略,我們也不會感到驚訝。我們將會密切監(jiān)控威脅環(huán)境,尋找類似的可疑攻擊活動。對于公司來說,他們能做的事情就是讓自己的公司隨時掌握最新的威脅情報,這樣他們就知道該注意什么了。"
本文翻譯自:https://threatpost.com/spy-operations-vietnam-rat/165243/如若轉(zhuǎn)載,請注明原文地址。
