資安研究人員揭露,中亞與南亞電信及製造業成為中國駭客組織的持續攻擊目標,攻擊者散布新版PlugX惡意軟體變種,並大量使用DLL側載技術規避偵測。
Cisco Talos研究人員Joey Chen與Takeda Takahiro本週發布分析指出,這波攻擊散布的PlugX新變種融合了RainyDay與Turian兩種後門程式的特徵,包括濫用相同的合法應用程式進行DLL側載、使用XOR-RC4-RtlDecompressBuffer演算法加密/解密酬載,以及重複使用相同的RC4金鑰。
此PlugX變種的組態格式與傳統PlugX顯著不同,反而採用與RainyDay相同的結構。RainyDay是與中國駭客組織Lotus Panda相關的後門程式,卡巴斯基也將其追蹤為FoundCore,並歸因於名為Cycldek的中文駭客組織。
駭客組織關聯性浮現
PlugX是一款模組化遠端存取木馬(RAT),被多個中國駭客組織使用,尤其以Mustang Panda 最為活躍。
相關文章:中國APT組織 Mustang Panda推出四款全新攻擊工具
Turian又稱Quarian或Whitebird。Turian後門程式專門用於針對中東地區的攻擊,由另一個與中國有關的進階持續性威脅(APT)組織BackdoorDiplomacy,該組織又稱CloudComputating或Faking Dragon。
研究人員發現,受害目標模式與惡意軟體技術實例顯示,Lotus Panda與BackdoorDiplomacy之間可能存在關聯,尤其兩者都高度關注電信公司。這引發兩種推測:兩個組織實為同一群體,或是從共同供應商取得工具。
在Cisco偵測到的一起事件中,Lotus Panda又稱Naikon APT,鎖定哈薩克的一家電信公司,而哈薩克與烏茲別克接壤,後者先前曾是BackdoorDiplomacy的攻擊目標。此外,兩個駭客組織都曾針對南亞國家發動攻擊。
攻擊手法與技術細節
攻擊鏈主要濫用與Mobile Popup Application相關的合法執行檔進行側載,載入惡意DLL後解密並在記憶體中執行PlugX、RainyDay與Turian載荷。
近期攻擊活動大量使用PlugX,該惡意軟體採用與RainyDay相同的組態結構,並內建鍵盤記錄器外掛程式。
Talos表示,雖然無法確立Naikon與BackdoorDiplomacy的明確關聯,但兩者在攻擊目標、加密技術、金鑰重複使用及工具來源等方面呈現顯著重疊特徵。研究人員認為,這些技術相似性足以支持此攻擊活動與中文駭客行為者存在中等可信度關聯的判斷。
Mustang Panda的Bookworm惡意軟體深度分析
Palo Alto Networks Unit 42同時揭露Mustang Panda自2015年起使用的Bookworm惡意軟體運作機制。這款進階遠端木馬程式具備執行任意指令、上傳/下載檔案、外洩資料及建立持久性存取等功能。
今年3月,Mustang Panda被發現針對東南亞國家協會(ASEAN)成員國發動攻擊,散布Bookworm惡意軟體。
為融入正常網路流量,Bookworm使用看似合法的網域或遭入侵的基礎設施作為C2伺服器。部分Bookworm變種與自2022年底起由Mustang Panda使用的TONESHELL後門程式存在重疊特徵。
如同PlugX與TONESHELL,散布Bookworm的攻擊鏈仰賴DLL側載執,但較新變種採用將shellcode封裝為通用唯一識別碼(UUID)字串的技術,經解碼後執行。
Unit 42研究員Kyle Wilhoit指出:「Bookworm採用獨特的模組化架構,核心功能可透過從C2伺服器動態載入模組來擴展。這種設計大幅提高靜態分析難度,因為Leader模組必須搭配其他DLL才能實現完整功能。」
Mustang Panda持續在各項行動中部署與更新Bookworm,顯示此惡意軟體在該組織工具庫中的核心地位。
延伸閱讀:外媒關注!台灣受中國網攻倍增,電信業成為新目標
本文轉載自thehackernews。