資安研究人員近日揭露一項持續進行中的中國網路間諜行動,攻擊目標鎖定電信服務供應商,並在入侵過程中使用兩款此前未曾公開的惡意程式:針對 Linux 系統的
Showboat(又名 kworker),以及針對 Windows 環境的
JFMBackdoor。
資安業者 Lumen 旗下 Black Lotus Labs 與 PwC Threat Intelligence 的研究人員指出,該行動至少自 2022 年中便已展開,攻擊範圍涵蓋亞太地區及部分中東地區的電信業者。研究人員
將此行動歸因於 Calypso 威脅組織,該組織亦被追蹤標記為 Red Lamassu。分析顯示,攻擊者建立多個以電信為主題的網域,藉此冒充攻擊目標。
Showboat:以低調換取長期潛伏
Showboat 是一款模組化的後脅迫(Post-exploitation)框架,設計目的在於於入侵成功後維持長期潛伏;其初始感染途徑目前仍不明。
一旦 Showboat 部署至目標系統,便會開始蒐集主機資訊並回傳至命令與控制(C2)伺服器。該惡意程式具備上傳與下載檔案、隱藏自身行程,以及透過建立新服務來維持持久性的能力。
Black Lotus Labs 的研究人員特別指出其「hide」指令的運作方式:該指令可讓惡意程式從 Pastebin 或網路論壇等外部網站擷取程式碼,並以「dead drop」方式在主機上隱藏自身行程。
Showboat 的關鍵功能之一,是
作為 SOCKS5 代理伺服器與連接埠轉發(Port-forwarding)的樞紐節點,讓攻擊者得以從已入侵的端點橫向移動至內部網路的其他系統。此外,該惡意程式在 VirusTotal 上的偵測數量為零,顯示其在實際環境中具備相當的隱蔽性。
研究人員進一步說明,中國的慣常做法是將特定地區作為「實驗場」,先在較小規模的目標上測試惡意程式的效果,確認有效後再擴大應用範圍。推測 Showboat 可能在這些較小規模的市場中取得一定成效,因此被持續沿用。
JFMBackdoor:功能完整的 Windows 間諜工具
PwC Threat Intelligence 的研究人員在分析 Red Lamassu 於 Windows 環境的感染鏈後指出,攻擊流程始於執行一支批次腳本;
該腳本會投放惡意酬載並啟動 DLL 側載機制,透過 fltMC.exe 搭配 FLTLIB.dll 執行,最終載入名為 JFMBackdoor 的惡意程式。
JFMBackdoor 是一款功能完整的 Windows 間諜植入程式,具備以下能力:
- 反向 Shell 存取,可在受感染機器上遠端執行指令
- 檔案管理,包含上傳、下載、修改、移動與刪除檔案
- TCP 代理,將受害系統作為進入內部網路的中繼節點
- 行程與服務管理,可啟動、停止、建立或終止行程與服務
- 登錄檔操作,可修改 Windows 登錄機碼與數值
- 螢幕截圖擷取,並加密後外傳
- 加密設定檔管理,以加密方式儲存與更新惡意程式設定
- 自我移除與反鑑識,可隱藏活動痕跡、移除持久性機制並刪除相關紀錄
跨組織共享的惡意程式生態系
Black Lotus Labs 追蹤到多個看似相互獨立的中國威脅群組正在使用 Showboat;其攻擊目標分散,包含阿富汗境內的一家網路服務供應商(ISP)、亞塞拜然、中東地區的不明受害者,以及烏克蘭東部頓巴斯爭議地區的某個 IP 位址。
PwC 威脅情報分析師 Daniel van Apeldoorn 指出,Red Lamassu 過去曾使用 PlugX 等在多個中國駭客組織間廣泛流通的惡意程式家族。他表示,該組織目前能依環境調整工具組合:在以 Linux 為主的環境(例如常見於 Unix 架構的電信基礎設施)中部署 Linux 後門,而在 Windows 占主導地位的企業環境中則改用 Windows 後門。
基礎設施分析顯示,攻擊者採取部分去中心化的行動模式:各叢集之間共享相似的憑證生成模式與工具組,但分別鎖定不同的受害對象。研究人員認為,相關工具可能由多個親中威脅組織共享,並各自針對不同地區展開行動。
本文轉載自 BleepingComputer、DarkReading。