中國駭客組織 APT31 在 2024 至 2025 年間持續攻擊俄羅斯資訊技術產業,成功潛伏數年而未被發現。
攻擊目標主要為俄羅斯政府機關的承包商與系統整合商。
APT31(又稱 Altaire、Bronze Vinewood、Judgement Panda 等)自 2010 年起便活躍於網路間諜活動。該組織鎖定政府、金融、航太國防、高科技、電信、媒體與保險等領域,目的是蒐集能為中國政府及國有企業帶來政治、經濟與軍事優勢的情報。
利用合法雲端服務規避偵測
這波針對俄羅斯的攻擊行動最大特色是
大量使用當地流行的合法雲端服務(特別是 Yandex Cloud)作為命令與控制(C2)伺服器及資料外洩管道,藉此混入正常流量以躲避偵測。駭客還會在社群媒體檔案中隱藏加密的指令與惡意程式,並刻意選在週末與假期發動攻擊。在至少一起案例中,APT31 早在 2022 年底便已入侵某 IT 公司網路,隨後在 2023 年新年假期期間大幅升級攻擊活動。
2024 年 12 月偵測到的另一起入侵事件中,攻擊者寄送含有 RAR 壓縮檔的釣魚郵件。壓縮檔內藏 Windows 捷徑檔案(LNK),透過 DLL 側載技術載入名為 CloudyLoader 的 Cobalt Strike 載入器。卡巴斯基實驗室也發現偽裝成秘魯外交部報告的 ZIP 壓縮檔,同樣用於部署 CloudyLoader。
豐富的攻擊工具庫
APT31 使用大量公開與自製工具進行攻擊。
駭客透過建立模仿 Yandex Disk 與 Google Chrome 等合法應用程式的排程工作來維持持久性。其工具庫包括:
- SharpADUserIP:用於偵察與探索的 C# 工具
- SharpChrome.exe:從 Google Chrome 與 Microsoft Edge 瀏覽器擷取密碼與 Cookie
- SharpDir:搜尋檔案
- StickyNotesExtract.exe:從 Windows 自黏便箋資料庫擷取資料
- Tailscale VPN:在受害主機與駭客基礎設施間建立加密通道與點對點(P2P)網路
- Microsoft dev tunnels:用於流量通道傳輸
- Owawa:用於竊取憑證的惡意 IIS 模組
- AufTime:使用 wolfSSL 程式庫與 C2 通訊的 Linux 後門程式
- COFFProxy:支援流量通道、執行指令、管理檔案與傳送額外酬載的 Golang 後門程式
- VtChatter:每兩小時透過 VirusTotal 上的文字檔案 Base64 編碼留言建立雙向 C2 通道
- OneDriveDoor:使用 Microsoft OneDrive 作為 C2 的後門程式
- LocalPlugX:PlugX 變種,用於在區域網路內擴散而非與 C2 通訊
- CloudSorcerer:使用雲端服務作為 C2 的後門程式
- YaLeak:將資訊上傳至 Yandex Cloud 的 .NET 工具
研究人員指出,APT31 持續擴充攻擊武器庫。雖然仍使用部分舊工具,但也積極開發新工具。
駭客大量使用雲端服務作為 C2,特別是 Yandex 與 Microsoft OneDrive。許多工具被設定為伺服器模式,等待攻擊者連線至受感染主機。
研究人員表示,駭客透過 Yandex 雲端儲存服務外洩資料。這些工具與技術讓 APT31 得以在受害者基礎設施中潛伏多年而不被發現。同時,攻擊者持續下載檔案並蒐集機密資訊,包括電子郵件與內部服務的密碼。
本文轉載自 TheHackerNews。