這波針對博弈公司的網路間諜活動背後駭客利用公開可取得以及自製工具來做到提權和進行橫向移動。所用的惡意軟體之一會用Dropbox 作為通訊及從目標取出資料的管道。
DRBControl惡意活動將用在其他網路間諜活動的惡意軟體及技術用來攻擊其目標。
詮睿科技在2019 年時就其在一起事件回應所發現的後門問題聯繫了趨勢科技。我們提供了關於此後門程式進一步的情報和分析,該後門程式之前被名為DRBControl的駭客組織用來發動攻擊。這團體目前將目標放在東南亞地區,特別是博弈公司。歐洲和中東也有向趨勢科技回報成為攻擊的目標,但我們在本報告撰寫時尚無法加以證實。外洩的資料主要是資料庫和原始碼,這使得我們相信該團體的主要目的是網路間諜活動。
這起攻擊活動用了兩個之前未看過的後門程式。駭客同時還用了已知惡意軟體家族(如PlugX和HyperBro後門程式)及自製的後滲透(post-exploitation)工具。有意思的是,其中有個後門程式利用雲端儲存服務 Dropbox作為命令和控制 (C&C)管道。我們已經向 Dropbox 披露了這項發現,他們也與趨勢科技一同合作解決此問題。
目標:東南亞的博弈公司
DRBControl的目標是東南亞的博弈公司。
惡意活動背後的駭客利用各種後滲透(post-exploitation)工具(如剪貼簿擷取程式、網路流量通道、暴力破解工具及密碼提取工具。)
惡意活動
第一階段的入侵活動是利用魚叉式釣魚(spear phishing)(DOCX檔)。DRBControl使用了三個版本的惡意文件。
- 這波活動主要使用了兩個後門程式,這兩個後門程式都會利用Microsoft簽章的 MSMpEng.exe來使用DLL 側載入(side-loading)。
- 第一型後門程式已經出現了九個版本,所有的版本都在2019年5月到10月間開發。而且都使用雲端儲存服務Dropbox作為C&C管道。
- 第二型後門程式使用含有C&C網域和連接端口的設定檔,設定檔內還包含了惡意軟體目錄和檔案名稱,同時還會設定其持續性機制。
- 在大多數情況下,IP地址只能從寫死在惡意軟體內的子網域解析出來;沒有IP地址連結到網域本身。
- 攻擊活動中還使用了已知惡意軟體(如PlugX遠端存取木馬、Trochilus遠端存取木馬和HyperBro後門程式)和Cobalt Strike軟體。
網路活動
與其他進階持續性威脅(APT)攻擊的關聯
有幾隻惡意軟體被識別出跟Winnti與Emissary Panda攻擊活動有關。跟Winnti集團的關聯從mutex到網域名稱和發出的命令都可以看出。而似乎專屬於Emissary Panda的HyperBro後門程式也被用於這波攻擊活動。
主要發現:
- 最早有記錄對目標進行攻擊的魚叉式網路釣魚活動在2019 年 5 月確認。這波攻擊針對公司的支援團隊。
- 這波攻擊活動跟知名進階持續性威脅(APT)駭客集團Winnti和Emissary Panda可以看出有許多相關之處,這些團體之前的攻擊活動都有自行開發工具和並且對目標進行間諜活動。
- 網路間諜活動似乎是在針對博弈公司。它利用了新的後門程式,其中一個可以讓駭客使用多個Dropbox檔案庫來取得資訊。
DRBControl攻擊活動使用了各種惡意軟體和技術來攻擊目標,這些惡意軟體和技術與其他已知網路間諜活動所用的相符合。惡意份子維護了多套基礎設施,並利用後滲透(post-exploitation)工具來推動其行動。
攻擊活動不僅僅使用雲端儲存服務Dropbox作為C&C管道,還將其用來派送各種惡意軟體。Dropbox檔案庫還被用來儲存如命令、後滲透(post-exploitation)工具、目標使用者工作站資訊和被竊檔案等資訊。
訂閱資安趨勢電子報
剪貼簿擷取程式
EarthWorm網路流量通道/ 公共 IP地址檢索程式/ NBTScan工具/ 暴力破解工具 提權漏洞工具/密碼提取程式/ 用戶帳戶控制(UAC)/繞過工具 /程式碼載入器
結論
與主要目標為傳統網路犯罪的無差別攻擊不同,駭客在進行針對性攻擊時更著在積極地研究和入侵特定目標(如透過魚叉式網路釣魚)來進行網路橫向移動和敏感資訊提取。能夠了解攻擊工具、技術和基礎設施及與類似攻擊活動間的連結,可以為評估潛在影響和採取防禦措施提供必須的脈絡資訊。趨勢科技的使用者能夠藉由提供可操作威脅情報、網路能見度和及時威脅保護的安全防護來抵禦進階持續性威脅。
我們在研究報告「揭露 DRBControl:解析針對博弈產業的網路間諜活動」內詳細描述了我們的發現,在報告中檢視了DRBControl所用的惡意軟體、與已知APT駭客集團的關係、其活動其他值得注意的點及入侵指標。