據TWCERT/CC官網報導,資安業者Seqrite Labs APT團隊近期揭露一項名為「Swan Vector」的進階持續性威脅攻擊活動,該攻擊專門針對台灣、日本的教育機構與機械工程產業進行滲透。此次攻擊活動採用高度模組化的多階段攻擊手法,透過仿真的履歷表與財務文件進行社交工程,成功建立長期潛伏的遠端控制通道。
攻擊手法概述
攻擊者使用名為
「歐買尬金流問題資料_20250413(6).rar」的惡意壓縮檔作為初始感染載體。該壓縮檔包含一個惡意捷徑檔與一個偽裝成圖片的DLL檔案。當受害者點擊捷徑檔案時,系統會透過rundll32.exe執行第一個後門程式Pterois,並從遠端伺服器下載誘餌文件與下一階段載荷。
攻擊者使用精心製作的日文履歷表作為誘餌,該履歷表名為「rirekisho2025」,採用日本令和年代格式,包含完整的個人資訊欄位、學歷與工作經歷等表格,外觀與真實履歷表幾乎無異,有效降低受害者的戒心。
四階段攻擊流程深度解析:
- 第一階段:惡意LNK腳本啟動
攻擊者使用兩個不同的惡意捷徑檔案,分別為「詳細記載提領延遲問題及相關交易紀錄.pdf.lnk」和「針對提領系統與客服流程的改進建議.pdf.lnk」,這些檔案的主要功能是啟動rundll32.exe,執行名為Pterois的DLL植入程式。兩個LNK檔案都建立於2025年3月4日,顯示攻擊者針對不同情境準備了多種社交工程誘餌,增加攻擊成功率。這些檔名都與金融服務和客戶支援相關,顯示攻擊者對目標機構業務流程的深度了解。
- 第二階段:Pterois後門程式部署
Pterois植入程式偽裝為「Chen_YiChun.png」圖片檔案,實際上是一個功能複雜的DLL後門程式。該程式採用PEB遍歷技術存取已載入的模組清單,並使用SDBM雜湊演算法進行API解析,大幅增加逆向分析的難度。程式還利用計時器物件載入動態連結程式庫,實現有效的反分析技術。
最關鍵的是,該程式濫用Google Drive作為C2通訊平台,使用合法OAuth憑證進行身份驗證。攻擊者透過硬編碼的檔案ID從Google Drive下載惡意載荷,研究人員發現攻擊者使用的Google Drive帳戶「swsanavector42@gmail.com」中包含多個預備用於其他攻擊活動的惡意檔案。
- 第三階段:Isurus植入程式執行
此階段涉及合法的Windows簽章執行檔PrintDialog.exe與惡意DLL檔案PrintDialog.dll。攻擊者利用DLL側載技術,使合法程式載入惡意DLL,進而執行加密的shellcode。Isurus植入程式使用CRC32雜湊演算法進行API解析,並採用硬編碼RC4金鑰「wquefbqw」解密shellcode。該程式透過syscall技術直接在記憶體中執行shellcode,成功規避高階Windows API函數的監控。
- 第四階段:Cobalt Strike部署完成
最終階段部署Cobalt Strike beacon,與位於日本的伺服器建立通訊連線。該beacon偽裝成jQuery JavaScript檔案,透過HTTPS協定與C2伺服器52.199.49.4:7284進行通訊,通訊路徑包括/jquery-3.3.1.min.js和/jquery-3.3.2.min.js,並使用偽裝的Chrome瀏覽器使用者代理來混淆流量特徵。
此次攻擊活動的主要惡意檔案包括偽裝為圖片的Chen_YiChun.png、DLL側載檔案PrintDialog.dll,以及配置檔案ra.ini等。攻擊者使用的C2伺服器位於52.199.49.4:7284,並透過Google Drive帳戶swsanavector42@gmail.com進行惡意載荷分發。
攻擊活動採用的MITRE ATT&CK技術包括釣魚攻擊、DLL側載、程序注入、API混淆、檔案刪除等多種技術,展現了攻擊者的高度技術成熟度。
威脅歸因分析
研究人員發現Swan Vector攻擊活動與多個知名東亞APT組織存在技術重疊。該攻擊與
Winnti組織同樣利用PrintDialog.exe進行DLL側載攻擊,並採用相似的模組化攻擊架構。同時,Isurus植入程式的程式碼基礎與Lazarus組織使用的技術相似,攻擊者的Google Drive中還發現wmiapsrv.exe檔案,該檔案曾被Lazarus組織用於DLL側載攻擊。
值得注意的是,
此次攻擊目標集中在日本與台灣地區,攻擊時間與APT10近期活動時程相符,顯示可能的關聯性。結合語言分析、植入程式成熟度及收集到的其他證據,研究人員以中等信心度將此威脅行為者歸屬於東亞地區。
未來威脅預測與防護建議
研究人員預測攻擊者將持續使用現有的植入程式進行後續攻擊活動,可能的攻擊變種包括針對Python應用程式的DLL側載攻擊、利用OneDrive Launcher執行檔進行攻擊,以及針對WMI效能配接器服務的滲透。攻擊者也可能繼續使用履歷表相關的誘餌文件,特別是針對人力資源部門和招聘相關機構進行攻擊。
企業組織應強化釣魚郵件檢測機制,對附件進行深度掃描,特別是壓縮檔案和捷徑檔案,並實施電子郵件沙箱分析。在系統監控方面,需要監控DLL側載行為模式,建立異常合法程式使用警報,並監控Google Drive等雲端服務的非典型OAuth活動。
組織還應監控rundll32.exe的異常執行行為,追蹤PrintDialog.exe等合法程式的異常載入活動,並建立syscall異常執行警報機制。在網路通訊層面,需要監控與已知惡意IP位址的通訊,檢測偽裝成合法服務的異常HTTPS流量,並建立OAuth驗證異常警報。
員工教育訓練方面,應加強社交工程攻擊防範意識,提供履歷表詐騙識別訓練,並建立可疑電子郵件回報機制。此外,組織需要建立APT攻擊應變流程,準備Cobalt Strike beacon檢測工具,並制定長期潛伏威脅清除程序。
Swan Vector攻擊活動展現了現代APT組織的高度專業化與技術成熟度。攻擊者透過多階段攻擊手法、先進的規避技術,以及對合法雲端服務的濫用,成功建立長期潛伏的攻擊管道。此次攻擊活動不僅突顯了東亞地區持續面臨的網路安全威脅,也提醒各組織必須採取更全面的防護策略,特別是針對社交工程攻擊和供應鏈滲透的防範。