大型跨國網路攻擊「Cloud Hopper」蔓延至亞洲, 以滲透IT代管服務供應商為跳板

四月初國外安全媒體爭相報導,一個大型的跨國網路攻擊,由英國國家網絡安全中心(NCSC)等單位公布的資安研究報告,指出以發動「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱 APT攻擊)惡名昭彰的中國駭客集團 APT10,正入侵全球企業並竊取機密資訊。
向來以魚叉式釣魚攻擊(SPEAR PHISHING)來攻擊目標企業或政府機關的 APT10,這波攻擊從供應鏈入手,藉由滲透 IT代管服務供應商(Managed IT Service Providers,MSPs)間接入侵目標攻擊的對象,該攻擊行動被命名為「Cloud Hopper」。
攻擊行動一旦入侵一家MSP,就可能獲得數千家的潛在攻擊對象,根據趨勢科技的初步分析和偵測顯示,這項攻擊行動至少使用了 70 種不同的後門程式家族和木馬程式。
本文將分享為了持續躲在受感染的系統當中,駭客做了哪些布局?
為避免 IT 系統管理員起疑,APT10 駭客組織用了哪些障眼法?

關於 Cloud Hopper 攻擊行動,企業該如何防範?

資安研究人員最近發現了一波影響範圍極廣的網路間諜行動,其背後是一個名為「APT10」的駭客集團 (又名:MenuPass、POTASSIUM、Stone Panda、Red Apollo 或 CVNX)。駭客瞄準的目標為 IT 代管服務廠商 (Managed Service Provider,簡稱 MSP),但這只不過是個跳板,其真正目標為 MSP 客戶的智慧資產和商業機密。以下整理了有關這項最新威脅企業該知道的訊息以及該如何防範。

受害對象已延伸到亞洲

該攻擊行動原本的受害目標主要是北美、歐洲、南韓及亞洲的企業機構,但最近也蔓延到以下地區的 MSP:英國、美國、日本、加拿大、巴西、法國、瑞士、挪威、芬蘭、瑞典、南非、印度、泰國、南韓以及澳洲。

由於 MSP 負責幫企業代管其應用程式、網路及系統基礎架構,因此歹徒之所以入侵 MSP,主要是為了藉此滲透 MSP 客戶的網路。目前受害的產業包括:工程、工業製造、零售、能源、醫藥、電信以及政府機關。

[延伸閱讀: 針對性攻擊的六大階段]

至少使用了 70 種後門程式和木馬

根據報告顯示,這項間諜行動運用了多種惡意程式,包括好幾個版本的遠端存取木馬程式 (RAT),例如 PlugXPoison Ivy、ChChes 及 Graftor 這類老舊但惡名昭彰的家族 (趨勢科技分別命名為 BKDR_PLUGXBKDR_POISON、BKDR_CHCHES 和 TROJ_GRAFTOR)。Cloud Hopper 攻擊行動目前已知會利用 ARTIEF 木馬程式 (TROJ_ARTIEF) 以及一些模仿 Microsoft 檔案簽章和屬性的惡意檔案 (如 TROJ_FAKEMS),還有內含惡意程式碼可攻擊系統漏洞的 Microsoft Office 文件。根據趨勢科技的初步分析和偵測顯示,這項攻擊行動至少使用了 70 種不同的後門程式家族和木馬程式。

入侵代管服務供應商,竊取系統管理員的帳號密碼

這些惡意程式是經由網路釣魚(Phishing)電子郵件來散布,駭客會假冒公共事業的名義來欺騙目標。為了持續躲在受感染的系統當中,駭客運用了一些工具來竊取系統管理員的帳號密碼,然後潛入 MSP 和其客戶共用的系統及基礎架構。這也是為何歹徒能在 MSP 網路內部四處遊走,並且入侵更多客戶的網路。歹徒會在系統中建立排程工作或利用系統服務和工具軟體,讓惡意程式即使在系統重新開機之後依然能夠常駐。

APT10 駭客團體不會只挑高價值的系統來感染,也會安裝惡意程式到非關鍵的系統上,將它們當成跳板來進入真正鎖定的目標系統,這算是一種避免 IT 系統管理員起疑的障眼法。APT10 會使用一些客製化的開放原始碼惡意程式和駭客工具 ,並暗中透過遠端桌面通訊協定 (RDP) 來進入系統,或利用遠端存取木馬程式 (RAT) 來尋找想要竊取的資料。

被竊取的資料會經過彙整、壓縮,然後經由 MSP 的網路傳送給駭客。

[延伸閱讀:駭客將發展出哪些新的針對性攻擊技巧?]

該如何防範?

Cloud Hopper 突顯出網路間諜攻擊不斷演變的特性,最新的發展是利用 MSP 和客戶之間的密切關係當成跳板。對企業來說,這也再次印證一點:企業在挑選基礎架構服務廠商時,務必審慎評估並確認風險。此外,MSP 在管理客戶的系統基礎架構時絕不能便宜行事,Cloud Hopper 攻擊行動告訴我們,MSP 必須同時兼顧效率和安全,不論代管式電子郵件雲端應用程式皆然。

除了隨時保持系統更新之外,MSP 和企業皆應採取某些防禦措施來防範這類威脅,例如主動式事件應變措施。IT 系統管理員若將資料分門別類,也可降低資料外洩的損害,並且在資料外洩時確保企業核心資料的安全。適當切割網路也有助於確保網路安全,並且限縮敏感資料與企業網路的存取權限,讓駭客更難在網路內四處遊走。由於 Cloud Hopper 主要是利用魚叉式網路釣魚郵件來滲透企業,因此企業務必培養良好的網路資安文化,尤其應嚴防電子郵件相關的威脅

趨勢科技解決方案

Deep Discovery ™ 能即時偵測、深入分析、並主動回應今日隱匿的惡意程式與針對性攻擊。它提供了一套專為企業量身訂做的完整防禦來對抗針對性攻擊和進階威脅,利用特殊的引擎、客製化沙盒模擬分析以及密切的交叉關聯分析,完整涵蓋攻擊的所有階段,甚至不須更新引擎或病毒碼就能偵測 Cloud Hopper 攻擊行動當中的各種威脅。

趨勢科技  Hybrid Cloud Security 混合式雲端解決方案 解決方案是以趨勢科技 XGen™ 防護為後盾並包含趨勢科技 Deep Security™ 解決方案,提供了跨世代融合的威脅防禦技巧,專為保護實體、虛擬及雲端工作負載和伺服器而最佳化。

趨勢科技的託管服務供應商方案能為 MSP 帶來防護管理自動化的效益,再加上能與產業標準應用程式部署平台高效率整合的企業內防護。

TippingPoint 客戶可利用下列 ThreatDV 過濾條件來防範這項威脅:
ThreatDV 27813: TCP: Backdoor.Win32.Redleavy.A (RedLeaves) Checkin

原文出處:Operation Cloud Hopper: What You Need to Know