[[392438]]

研究人員表示，在越南發(fā)現(xiàn)了一個(gè)針對(duì)政府和軍事機(jī)構(gòu)進(jìn)行攻擊的高級(jí)網(wǎng)絡(luò)間諜攻擊活動(dòng)，該攻擊活動(dòng)中使用了一個(gè)專(zhuān)門(mén)用于實(shí)施間諜攻擊的遠(yuǎn)程訪(fǎng)問(wèn)工具(RAT)。

卡巴斯基研究人員稱(chēng)，對(duì)其進(jìn)一步的分析表明，這次活動(dòng)是由一個(gè)被稱(chēng)為Cycldek(又名Goblin Panda，APT 27和Conimes)的高級(jí)持續(xù)性威脅(APT)組織進(jìn)行的，他們補(bǔ)充說(shuō)，該組織自2013年以來(lái)就一直很活躍。

此次攻擊活動(dòng)中使用的惡意軟件被稱(chēng)為FoundCore，它會(huì)允許攻擊者進(jìn)行文件系統(tǒng)控制、進(jìn)程操縱、捕獲截圖和執(zhí)行任意命令等操作。

根據(jù)卡巴斯基在周一發(fā)布的分析報(bào)告，這代表了該組織在攻擊的復(fù)雜性方面有了重大的進(jìn)步。研究人員表示，防止惡意代碼被殺毒軟件進(jìn)行分析的技術(shù)對(duì)于該攻擊集團(tuán)來(lái)說(shuō)是首次使用的。

他們解釋說(shuō)："有效載荷的頭部(用以攻擊的代碼)被完全分開(kāi)，僅包含幾個(gè)不連貫的函數(shù)，通過(guò)這樣做，攻擊者使得研究人員對(duì)于惡意軟件進(jìn)行逆向工程分析的難度大大增加。更重要的是，感染鏈的組件是緊密耦合的，這意味著單個(gè)部件有時(shí)很難甚至不可能單獨(dú)進(jìn)行分析，這樣從而防止了惡意活動(dòng)被分析。"

此次攻擊活動(dòng)還使用了動(dòng)態(tài)鏈接庫(kù)(DLL)的側(cè)載技術(shù)，當(dāng)一個(gè)有合法簽名的文件被加載注入了一個(gè)惡意的DLL時(shí)，就會(huì)發(fā)生這種情況，這樣可以使得攻擊者能夠繞過(guò)安全產(chǎn)品的防護(hù)。

根據(jù)分析稱(chēng)："在這個(gè)最近被發(fā)現(xiàn)的攻擊活動(dòng)中，DLL側(cè)載感染鏈會(huì)解密一個(gè)有效載荷的shellcode—FoundCore，它可以使得攻擊者能夠完全控制被感染的設(shè)備。"

FoundCore的4個(gè)惡意軟件線(xiàn)程

感染鏈中的最后一個(gè)有效載荷是一個(gè)遠(yuǎn)程管理工具，它可以使操作者對(duì)受害者的機(jī)器實(shí)現(xiàn)完全的控制。研究人員稱(chēng)，在這個(gè)工具被執(zhí)行后，惡意軟件會(huì)啟動(dòng)四個(gè)線(xiàn)程。

第一個(gè)線(xiàn)程會(huì)通過(guò)創(chuàng)建服務(wù)來(lái)實(shí)現(xiàn)對(duì)機(jī)器的持久性控制。

第二個(gè)通過(guò)改變服務(wù)的Description、ImagePath和DisplayName等字段，隱藏服務(wù)的相關(guān)信息。

第三種是為與當(dāng)前進(jìn)程相關(guān)聯(lián)的圖像設(shè)置一個(gè)空的訪(fǎng)問(wèn)控制列表(DACL)，防止對(duì)底層惡意文件的訪(fǎng)問(wèn)。DACL是安裝在Active Directory對(duì)象上的一個(gè)內(nèi)部列表，它指定了哪些用戶(hù)和組可以訪(fǎng)問(wèn)該對(duì)象，以及他們可以對(duì)該對(duì)象執(zhí)行何種操作。

最后一個(gè)線(xiàn)程引導(dǎo)程序執(zhí)行并與C2服務(wù)器建立連接。根據(jù)它的配置，它也可以將自己的副本注入到另一個(gè)進(jìn)程中。與服務(wù)器的通信可以使用HTTPS或者對(duì)原始的TCP套接字進(jìn)行RC4加密。

在感染鏈中，研究人員發(fā)現(xiàn)FoundCore還下載了兩個(gè)其他的間諜軟件。第一個(gè)是DropPhone，用于收集受害者機(jī)器的環(huán)境信息并將其發(fā)送到DropBox。第二個(gè)是CoreLoader，幫助惡意軟件逃避安全產(chǎn)品的檢測(cè)。

卡巴斯基的高級(jí)安全研究員Mark Lechtik在分析中說(shuō)："總的來(lái)說(shuō)，在過(guò)去的一年里，我們注意到，許多黑客團(tuán)體為他們的攻擊活動(dòng)都投入了很多的資源，也提高了他們的技術(shù)能力。在這里，他們?cè)黾恿烁嗟幕煜夹g(shù)以及更為復(fù)雜的反逆向工程技術(shù)。而這也預(yù)示著，這些組織可能正在計(jì)劃擴(kuò)大他們的攻擊范圍。"

越南成為APT攻擊的目標(biāo)

卡巴斯基的分析顯示，此次活動(dòng)中有數(shù)十臺(tái)電腦成為了攻擊目標(biāo)，其中絕大多數(shù)(80%)位于越南。其他目標(biāo)則是在中亞和泰國(guó)。

該公司還發(fā)現(xiàn)，大多數(shù)被攻擊的機(jī)器屬于政府或軍事部門(mén)。同時(shí)，還有包括外交、教育或醫(yī)療保健在內(nèi)的部門(mén)，也成了被攻擊的目標(biāo)。

Lechtik說(shuō)："現(xiàn)在看來(lái)，這次攻擊活動(dòng)似乎更多的是對(duì)越南本地造成了威脅，但未來(lái)極有可能會(huì)在更多國(guó)家更多的地區(qū)發(fā)現(xiàn)FoundCore后門(mén)"

卡巴斯基高級(jí)安全研究員Pierre Delcher補(bǔ)充道："更重要的是，這些黑客組織往往會(huì)相互分享他們的攻擊策略，如果在其他活動(dòng)中也發(fā)現(xiàn)了同樣的混淆策略，我們也不會(huì)感到驚訝。我們將會(huì)密切監(jiān)控威脅環(huán)境，尋找類(lèi)似的可疑攻擊活動(dòng)。對(duì)于公司來(lái)說(shuō)，他們能做的事情就是讓自己的公司隨時(shí)掌握最新的威脅情報(bào)，這樣他們就知道該注意什么了。"

本文翻譯自：https://threatpost.com/spy-operations-vietnam-rat/165243/如若轉(zhuǎn)載，請(qǐng)注明原文地址。