資安研究顯示,名為「卡隆」(Charon)的新型勒索軟體家族正運用類似APT組織的複雜攻擊手法,針對中東地區公共部門與航空業發動定向攻擊,為企業資安帶來嚴峻挑戰。
趨勢科技最新研究顯示,卡隆被部署於針對中東地區公共部門和航空業的定向攻擊中,這是該勒索軟體首次在實際環境中被記錄到的案例。根據趨勢科技發佈的部落格文章,這款勒索軟體採用了 DLL 側載、程序注入和反端點偵測與回應(anti-EDR)等技術。這些技術是進階威脅行動者的典型特徵,而在本案例中,
這些手法與「Earth Baxia」組織的攻擊模式高度相似。
研究人員揭露,攻擊鏈利用了一個合法的瀏覽器相關檔案 Edge.exe(原名為cookie_exporter.exe)來側載惡意的 msedge.dll(SWORDLDR),進而部署卡隆勒索軟體。
卡隆勒索軟體疑與中國國家級駭客組織有關
研究人員發現攻擊活動中使用的技術與 Earth Baxia 組織高度重疊。這個組織也被稱為 APT41、Wicked Panda(邪惡熊貓)和 Grass Typhoon(草颱風),是受中國指示行動的眾多 APT 組織之一。然而,由於此次攻擊包含針對受害組織的客製化勒索訊息,研究人員對兩者間的關聯性持保留態度。
研究人員確實發現技術上有明顯重疊,特別是在使用相同二進制檔案配合 DLL 部署加密殼層程式的特定工具鏈方面。不過,目前無法明確將此攻擊歸因於 Earth Baxia 組織。這些技術可能源自三種情況: Earth Baxia 直接參與、其他攻擊者刻意模仿,或是獨立開發的類似戰術。
卡隆勒索軟體及其高階攻擊戰術的出現為勒索軟體攻擊領域帶來嚴重威脅。這類惡意軟體對企業構成重大風險,不僅可能導致營運中斷,還會造成資料損失及隨之而來的財務損失。由於卡隆能同時加密本地和網路資料,受害組織的復原能力因而受到嚴重限制。
卡隆勒索軟體的攻擊鏈分析
卡隆勒索軟體的攻擊鏈揭示了駭客在網路環境中高度隱匿與靈活移動的能力。研究人員發現,其主要戰術之一是
利用 DLL 側載技術來執行勒索軟體。雖然 DLL 側載並非任何特定駭客組織的專利,但本案例中的特定實作方式、工具鏈配置和加密載荷傳遞模式,都展現了通常與進階持續性威脅(APT)相關的複雜技術特徵。
駭客透過執行合法的 Edge.exe 二進制檔案進行初始入侵,該檔案被濫用來側載惡意 DLL。這個 DLL 隨後解密內嵌的勒索軟體載荷,並將其注入到新啟動的 svchost.exe 進程中。研究人員指出,
此技術使惡意軟體能夠偽裝成合法的 Windows 服務,從而繞過常見的端點安全控制。
卡隆勒索軟體還採用多階段載荷提取技術,透過看似良性的日誌檔案 DumpStack.log 進行。經仔細檢查後發現,該檔案實際上是一個加密的殼層程式碼,負責傳遞勒索軟體載荷。進一步分析還顯示中間載荷中存在第二層加密。
防範進階勒索軟體攻擊者的策略
卡隆勒索軟體的攻擊流程顯示了一個令人擔憂的趨勢:勒索軟體營運者正採用APT 級別的技術。
研究人員指出,APT 戰術與勒索軟體操作的結合對組織構成更高風險,同時結合了複雜的規避技術與勒索軟體加密帶來的即時業務衝擊。駭客在已充滿危險威脅的環境中展現出高度隱匿性、速度和規避能力。在這個新型勒索軟體攻擊者不斷湧現而其他則被取締的背景下,趨勢科技建議組織採取多層次防禦方法,特別針對攻擊中使用的 DLL 側載技術。
對抗這類特殊攻擊手法的策略包括:
強化系統抵禦 DLL 側載和程序注入的能力,以及
限制可執行程式和 DLL 的載入範圍,尤其在常被濫用的目錄中,如應用程式資料夾和暫存位置。
防禦方應設置警報監控可疑的處理程序鏈,例如當 Edge.exe 或其他已簽名的二進制檔案產生非標準 DLL 或 svchost.exe 實例時。趨勢科技也建議,對放置在合法二進制檔案旁邊的未簽名或可疑 DLL 保持警覺。
組織還可採取其他防禦策略來對抗進階勒索軟體戰術,包括:
確保 EDR 和防毒軟體代理程式具備防止惡意軟體停用、
篡改或解除安裝的功能,以及
限制工作站、伺服器和敏感共享資源之間的存取權限,以減少橫向移動的可能性。
本文轉載自 DarkReading。