【細水長流】惡意負載遭斬件154份 迴避安全偵測靠耐性
黑客集團為求成功攻擊目標會出盡法寶,Group-IB 安全研究員早前便捕捉到中國黑客集團 APT41 (又稱 Winnti),在去年攻擊的 80 間機構中,至少成功入侵 13 間。採用的其中一個迂迴手法是將 Cobalt Strike 斬件為 154 份再加密,然後細水長流式導入目標電腦設備,非常有耐性。
Group-IB 安全研究員長時間追蹤中國國家級黑客集團 APT41 的活動,並指出過去一年是中國黑客異常活躍的一年。研究員說 APT41 主要的攻擊目標包括美國的軟件開發商及醫療機構、印度的航空公司、台灣政府機構、製造業及傳媒等,當中連國內的軟件代理亦不放過。而為了令攻擊可以更順利實行,APT41 黑客還攻擊了英國、香港的大學,取用目標機構的網站來繞過網絡安全工具的偵測。
APT41 使用的攻擊方法非常豐富,他們會透過釣魚電郵、網站水坑、供應鏈攻擊等,同時會配合使用正版軟件如 Acunetix、Nmap、SQLmap 等,讓惡意程式碼可以在目標電腦設備內被正常執行。研究員以其中一種使用滲透測試工具 Cobalt Strike 的攻擊為例,黑客首先會將可在目標設備來放置 beacons 的惡意負載以 base64 方式加密及混淆化,同時將被混淆的字串斬件成 154 分,每份只包含 775 個字母或符號,然後逐次導入並在一個 dns.txt 的文件內聚合。當成功導入所有代碼,黑客再利用 Windows 系統提供的二進制文件 Certutil LOLBin 去執行惡意負載,最終成功在目標電腦設備內埋下 beacons,隨時通過 Cobalt Strike 推送其他惡意功能及竊取機密資料。
除了 Group-IB 的調查報告,單在今年還有另外三個報告與 APT41 黑客集團有關,例如在一月,Kaspersky 發現對方使用 UEFI 漏洞入侵目標機構,Mandiant 在三月指對方利用 Cisco 及 Citrix 的產品漏洞入侵美國六個州政府網絡。Cyberreason 則揭發了一個自 2019 年開始的間諜活動。這次 Group-IB 的報告,則為研究 APT41 的攻擊策略及方式提供了大量的參考。
相關文章:【新武器】睇中低知名度 滲透測試工具Brute Ratel成黑客新歡
https://www.wepro180.com/brute-ratel220713/
