中芯數據資安團隊於農曆春節期間,發現疑似中國駭客組織APT41以多種攻擊手法,對國內多個單位進行攻擊。於某個案例中,APT41年節前就已潛伏於客戶單位內的設備中,伺機於員工休假期間進行內部橫向攻擊,利用合法工具PsExec連線,透過與135、445 port進行橫向感染,由於此兩個port皆為單位內部大量服務所使用的port(如SMB服務、AD相關服務等),因此一般網路層的資安設備不容易發現此攻擊行為,且單位也無法直接封鎖連線,故駭客能輕易入侵至單位內AD主機。
另外一方面,為避免遭資安設備發現,
APT41利用知名防毒的DLL Side-loading漏洞進行端點攻擊,看起來就像防毒在對主機進行掃描,以此避免遭到資安人員的發現。因該單位與大量政府單位有合作關係,中芯數據資安團隊研判APT41組織試圖透過此單位進一步的橫向擴散至其他單位或是竊取重要資料,我們的客戶透過IPaaS服務,在駭客入侵到被IPaaS保護的主機時,立即收到通報並開始進行處理,由於通報時提供完整駭客攻擊流程及建議處置措施,故僅用短短幾分鐘即阻斷駭客進一步的攻擊行為,確保該單位及其合作單位免受駭客攻擊及資料損失風險。
APT41駭客組織作為一個值得注意的角色,中芯數據資安團隊發現APT41也利用網頁漏洞進行入侵,並試圖透過網頁主機進行內部橫向感染,雖然在春節進行攻擊,單位第一時間取得IPaaS服務通報,並於通報中提供相關漏洞與修補方式,以利單位能立即進行修補,避免駭客持續進攻.但幾日後駭客並不願意輕易放棄,透過早期部署在單位內部的其他惡意後門進行再次攻擊,該單位兩個周內持續遭受四次資安攻擊,皆被IPaaS服務發現後進行處理,避免駭客從中獲利。
「APT41」是一個多產的網路犯罪組織,已被證實於近年來針對美、台兩國家進行攻擊,利用網路程式弱點,鎖定攻擊目標大多屬於政府相關單位,且在我們發現的攻擊中可以確認,針對台灣的攻擊於半年前或更早就已開始,此外,針對有興趣的目標會多次反覆地進行攻擊,或進一步利用供應鏈攻擊這種合法管道入侵的方法,成功入侵進目標單位內部,由於攻擊手法較難透過弱掃、滲透、網路層資安設備等進行防護或偵測,因此建議各單位妥善思考類似攻擊發生該如何發現並進行防範。
中芯數據資安團隊建議:各單位可以檢查以下路徑、Hash值與中繼站,以初步確認是否遭受攻擊,資料如下:
IoC
- Files
- Hash
- 0ff80e4db32d1d45a0c2afdfd7a1be961c0fbd9d43613a22a989f9024cc1b1e9
- 中繼站
- software.dnsplan.net
- info.dnsplan.com
- bak.redisservice.net
- 134.122.188.153
- 103.205.210.46
- 103.13.222.139
- 134.122.188.219
本次發現的多筆攻擊中,發現就算攻擊不同的單位,也有大量使用相同中繼站的跡象,因此透過內部是否有連線中繼站,可初步確認是否有遭駭設備。由於攻擊手法中,有發現駭客於外部或早期已獲得內部使用帳號密碼,故於春節的攻擊中並不會有登入失敗的行為,使整個攻擊很難被單位內資安人員發現,為有效防範此類型以合法帳號與內網合法服務的攻擊方式,建議建制針對未知惡意後門的檢測機制與因應措施,建立此機制時需特別注意資安人員是否能妥善處理以下兩大問題:
1.每日大量告警是否有辦法進行全面確認。
2.資安人員能否分析告警是否為資安攻擊。
如以上問題無法有效處理,將使駭客能輕易進行攻擊,並潛伏於單位內部,為此建議使用IPaaS服務作為內部資安團隊的延伸,共同防禦進階威脅。