趨勢科技在追蹤全球重要基礎建設和政府機構的攻擊活動時,發現中國政府支援的駭客組織「鹽颱風」(Salt Typhoon)正利用全新的 GhostSpider 惡意程式,大規模攻擊電信服務業者。
趨勢科技的調查進一步揭露,「鹽颱風」組織除了使用 GhostSpider 外,還部署了多項駭客工具,包括針對 Linux 系統的惡意程式「Masol RAT」、用於隱藏惡意行為的 rootkit 工具「Demodex」,以及在中國進階持續性威脅(APT)組織間常見的後門程式「SnappyBee」。
鹽颱風的全球攻擊活動
鹽颱風(又稱「Earth Estries」、「GhostEmperor」或「UNC2286」)自 2019 年以來一直活躍,是一個專門針對政府機構和電信公司發動網路攻擊的進階駭客組織。根據趨勢科技的報告,鹽颱風已在美國、亞太地區、中東、南非等地區攻擊電信、政府機構、科技、顧問諮詢、化工和運輸等產業。
報告中特別指出兩項重要攻擊行動:
「Alpha行動」運用Demodex與SnappyBee惡意程式攻擊台灣政府及化工製造商,而
「Beta行動」則使用GhostSpider和Demodex惡意程式,對東南亞電信與政府網路進行長期間諜活動。
駭客組織主要透過以下資安漏洞入侵對外服務的網路端點:
- CVE-2023-46805、CVE-2024-21887(Ivanti Connect Secure VPN)
- CVE-2023-48788(Fortinet FortiClient EMS)
- CVE-2022-3236(Sophos防火牆)
- CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065(Microsoft Exchange – ProxyLogon)
成功入侵系統後,鹽颱風會利用系統內建的合法工具(Living off the Land,LOLBin)執行情報收集和橫向移動。
GhostSpider 後門程式的技術細節
GhostSpider 是一款模組化的後門程式,透過加密技術並僅存在於記憶體中,以達到高度隱匿性。該惡意程式透過 DLL 劫持方式載入目標系統,並利用合法的「regsvr32.exe」工具註冊為系統服務。其次要模組(信標載入器)負責將加密的惡意程式直接載入記憶體。
GhostSpider 接收來自指揮控制(C2)伺服器的指令,這些指令被隱藏在 HTTP 標頭或 Cookie 中,藉此混入正常網路流量。該後門程式支援以下指令:
- 上傳(Upload):將惡意模組載入記憶體,執行駭客指定的特定任務。
- 建立(Create):啟動已載入的模組,並初始化其運作所需資源。
- 執行(Normal):執行已載入模組的主要功能,如資料外洩或系統操控。
- 關閉(Close):從記憶體中移除作用中的模組,減少痕跡並釋放系統資源。
- 更新(Update):調整惡意程式的行為,如通訊間隔,以維持隱密性。
- 心跳(Heartbeat):與 C2 伺服器保持定期通訊,確認系統仍可被存取。
這些指令結構賦予後門程式高度靈活性,使鹽颱風能依據受害者的網路環境和防禦機制調整攻擊策略。
鹽颱風使用的其他駭客工具
除了 GhostSpider 外,鹽颱風還運用一系列自有工具和其他中國駭客組織共用的工具,使其能在邊緣設備到雲端環境間執行複雜的多階段間諜活動。
- SNAPPYBEE:模組化後門程式(又稱 Deed RAT),用於長期存取和間諜活動,具備資料外洩、系統監控和執行駭客指令功能。
- MASOL RAT:跨平台後門程式,最初針對東南亞政府,專注於 Linux 伺服器,提供遠端存取和指令執行功能。
- DEMODEX:用於在被入侵系統中維持潛伏的 rootkit,採用反分析技術,確保駭客能長期隱匿。
- SparrowDoor:提供遠端存取功能的後門程式,用於橫向移動和建立 C2 通訊。
- CrowDoor:專門針對政府和電信實體的間諜後門程式,注重隱密性和資料外洩。
- ShadowPad:中國駭客組織共用的惡意程式,用於間諜活動和系統控制,作為部署各種惡意外掛的模組化平台。
- NeoReGeorg:用於建立隱密通訊通道的隧道工具,讓駭客能繞過網路防禦並控制被入侵系統。
- frpc:開源反向代理工具,用於建立與 C2 伺服器的安全連線,實現資料外洩和遠端指令執行。
- Cobalt Strike:原為商業滲透測試工具,遭駭客濫用來建立信標,進行橫向移動、提權和遠端控制。
整體而言,鹽颱風擁有龐大的攻擊工具庫,包含諸多廣泛使用的工具,這使得研究人員在能見度有限時,難以準確判定攻擊來源。
趨勢科技總結指出,鹽颱風是最具攻擊性的中國 APT 組織之一,呼籲各組織保持警戒,並採用多層次的資安防禦措施。
本文轉載自 BleepingComputer。