資安研究人員發現,一個先前未被記錄的中國威脅行為者正針對南亞、東南亞及東亞的高價值組織發動長期攻擊。
Palo Alto Networks 旗下的 Unit 42 研究團隊將這個攻擊集團命名為
CL-UNK-1068,其中「CL」代表集群(Cluster),「UNK」代表未知動機。
該組織鎖定的產業涵蓋航空、能源、政府、執法、製藥、科技及電信等關鍵領域。
研究人員以中高度信心評估,這波攻擊活動的主要目的是進行網路間諜行動。
多層次工具組合實現持續潛伏
資安研究員 Tom Fakterman 指出,駭客採用多面向的工具集,包含客製化惡意軟體、修改過的開源工具,以及內建於系統的合法執行檔(Living-off-the-Land Binaries, LOLBINs)。這些工具讓攻擊者能以簡單有效的方式,在目標環境中維持長期潛伏。
攻擊工具同時支援 Windows 和 Linux 環境。駭客使用的惡意軟體家族包括 Godzilla、ANTSWORD、Xnote 及 Fast Reverse Proxy(FRP),這些工具皆曾被多個中國駭客組織採用。
Godzilla 和 ANTSWORD 都是網頁後門(Web Shell)。Xnote 則是 Linux 後門程式,自 2015 年起就在野外被偵測到,曾被駭客集團 Earth Berberoka(又稱 GamblingPuppet)用於攻擊線上博弈網站。
典型攻擊流程與資料竊取手法
攻擊鏈通常從入侵網頁伺服器開始,植入網頁後門後橫向移動至其他主機。駭客會從 Windows 網頁伺服器的「c:\inetpub\wwwroot」目錄中竊取特定副檔名的檔案,包括「web.config」、「.aspx」、「.asmx」、「.asax」及「.dll」,藉此竊取憑證或發掘系統漏洞。
CL-UNK-1068 還會收集瀏覽器歷史記錄與書籤、桌面及使用者目錄中的 XLSX 和 CSV 檔案,以及 MS-SQL 伺服器的資料庫備份(.bak)檔案。
駭客採用獨特的資料外洩手法:先使用 WinRAR 壓縮相關檔案,再透過 certutil -encode 指令將壓縮檔轉換為 Base64 編碼,最後執行 type 指令將 Base64 內容透過網頁後門顯示在螢幕上。
Unit 42 指出,
攻擊者將壓縮檔編碼為文字並顯示在螢幕上,藉此無需上傳檔案即可外洩資料。駭客選擇這種方法,是因為主機上的後門程式雖可執行指令並查看輸出,卻無法直接傳輸檔案。
DLL側載攻擊與偵察工具
攻擊者利用合法的 Python 執行檔(python.exe 和 pythonw.exe)發動 DLL 側載攻擊(DLL Side-Loading),暗中執行惡意 DLL,包括用於維持持續存取的 FRP、PrintSpoofer,以及基於 Go 語言開發的客製化掃描工具 ScanPortPlus。
CL-UNK-1068 自 2020 年起使用客製化 .NET 工具 SuperDump 進行偵察。近期入侵活動則改用批次腳本(Batch Scripts)收集主機資訊並繪製本地環境。
憑證竊取工具箱
該組織使用多種工具來竊取憑證:
- Mimikatz:從記憶體中傾印密碼
- LsaRecorder:攔截(Hook)LsaApLogonUserEx2 以記錄 WinLogon 密碼
- DumpItForLinux 和 Volatility Framework:從記憶體中提取密碼雜湊值(Password Hash)
- SQL Server Management Studio 密碼匯出工具:提取「sqlstudio.bin」的內容,該檔案儲存 Microsoft SQL Server Management Studio(SSMS)的連線資訊
隱密行動與防護建議
Unit 42 總結指出,該組織主要使用開源工具、社群分享的惡意軟體與批次腳本,成功維持隱密行動並滲透關鍵組織。
這個攻擊集群展現跨平台作戰能力,能在 Windows 和 Linux 環境中運作,並針對不同作業系統使用相應版本的工具集。從其鎖定關鍵基礎設施和政府部門、進行憑證竊取與敏感資料外洩的行為來看,動機強烈指向網路間諜活動,但目前仍無法完全排除網路犯罪的可能性。
本文轉載自 TheHackerNews。