中國國家級駭客正透過劫持網路認證入口網頁(captive portal)的檢查機制,散布偽裝成Adobe 軟體的惡意程式。
Google 研究人員將這些活動歸因於與「
Mustang Panda」有關的間諜組織( UNC6384)。
Mustang Panda似乎特別鎖定東南亞外交人員,以及全球其他尚未確認的目標,活動時間約在今年 3 月至 7 月之間。
延伸閱讀:中國APT組織 Mustang Panda推出四款全新攻擊工具
Google威脅情報小組(GTIG)的資深安全工程師 Patrick Whitsell 指出,目前已確認約二十多名受害者。然而,由於 GTIG 僅針對 Google Chrome 使用者進行研究,這種劫持技術可以在任何瀏覽器的認證入口網頁中複製,因此實際受害目標可能更多。
Mustang Panda的攻擊鏈路
攻擊鏈結合了中國進階持續性威脅(APT)活動的常見手法,包括:入侵邊緣設備、動態連結程式庫(DLL)側載,以及廣泛使用的 PlugX 惡意程式。不過,此次攻擊的起始方式卻相當罕見,主要針對認證入口網頁檢查機制進行劫持。
當裝置連接到新網路或切換網路時,瀏覽器會檢查該網路是否可直接使用,或需要透過認證入口網頁(Captive Portal)登入。這些認證入口網頁就是連接 Wi-Fi 時出現的登入頁面,常見於飛機上或飯店等場所。
Mustang Panda 的關鍵手法是劫持使用者與認證入口網頁檢查之間的通訊。Google 研究人員認為,駭客入侵了目標網路中的邊緣設備,利用這些設備攔截 Google Chrome 瀏覽器進行的檢查,並將使用者重新導向至他們控制的網站。
該惡意登陸頁面僅顯示一則通知,要求用戶安裝缺失的外掛程式才能顯示頁面內容。雖然頁面看起來可疑,但該網站擁有由 Let's Encrypt 頒發的有效 TLS/SSL 憑證,使用戶能夠透過 HTTPS 連接,避免觸發常見的瀏覽器安全警告。根據反釣魚工作組(APWG)的資料,現今超過 90% 的釣魚網站都使用 SSL/TLS 憑證,讓它們獲得不應有的可信度。
受釣魚攻擊的使用者會被引導下載偽裝成 Adobe 外掛程式更新的檔案,頁面同時提供指示,教導使用者如何繞過微軟內建的安全性警告來執行已下載的惡意檔案。
為了進一步欺騙使用者,執行檔案後會顯示「安裝」或「取消」的選項。但是障眼法,無論選擇哪個按鈕,惡意程式已在裝置上運行,不會因而停止。
植入 PlugX 惡意程式
與惡意網站相同,第一階段惡意程式「
STATICPLUGIN」也擁有有效的程式碼簽章憑證,使它能夠繞過那些預設信任已簽章檔案的端點安全工具。
負責簽署 STATICPLUGIN 的組織「成都諾鑫時代科技有限公司」自 2023 年 1 月以來已為至少 25 個已知惡意程式提供簽章。這些惡意程式不僅與 Mustang Panda 有關,還與其他中國APT組織有連結。目前尚不清楚該公司是被攻擊者滲透而在不知情下被用於程式碼簽署,還是刻意充當中國網路間諜活動的掩護。
利用這種加簽優勢,該下載器部署了名為「CANONSTAGER」的啟動器。此啟動器運用多個合法 Windows 功能,通過應用程式介面(API)雜湊技術隱藏其系統呼叫,並將解析後的函數位址存入執行緒本地儲存(TLS)陣列中。因 TLS 陣列是存放此類資料的非典型位置,這些函數往往能逃過資安分析師及其工具的偵測。
啟動器的主要任務是引入加密的最終惡意程式,即是一種常見的中國後門木馬PlugX變種,被Google識別並追蹤為「SOGU.SEC」。
專家強調,API 雜湊處理、執行緒本地儲存陣列的使用,以及透過視窗程序和訊息佇列執行程式碼的組合,展現出極為精巧且罕見的技術。這是首次發現惡意軟體以此種方式整合這些技術來隱藏程式碼並維持其隱匿性。
本文轉載自 DarkReading。