趨勢科技在之前的一篇文章中討論過中國駭客組織Winnti如何利用GitHub來散播惡意軟體,這種發展顯示出該集團已經進化,開始運用跟之前攻擊遊戲、製藥和電信公司時不同的戰術。透過本文,我們會仔細檢視跟Winnti集團有關的對象,希望提供一般使用者和企業對這些惡意分子所利用和運作工具(尤其是伺服器基礎設施)有更多的了解。
搜尋網域註冊來找線索
惡意分子通常會註冊和使用多個網域,以便將他們的惡意軟體分散到不同的命令和控制(C&C)伺服器。註冊網域都會需要某些識別資訊:實體或郵寄地址、電子郵件地址和電話號碼。在這之中,需要有效的電子郵件地址,因為註冊商需要寄信給新網域擁有者來確認購買,同時也是控制網域所需的資訊。
大多數詐騙分子會建立一次性電子郵件地址或使用偷來的電子郵件地址,這兩者都很容易建立或取得。但隨著時間久了,詐騙分子在註冊新網域時也會疲於改變資料,犯下重複使用電子郵件地址的錯誤。
仔細分析這惡意分子在2014年到2015年間的網域註冊可以識別出有一組身分被用來註冊多個網域,作為Winnti集團所使用特定惡意軟體的C&C伺服器。具體地說,我們收集到暱稱Hack520的詳細資料,認定他跟Winnti有關。
Winnti集團是誰?
Winnti惡意軟體背後的集團(我們就稱之為Winnti集團)起初是傳統的網路詐騙者,同時具備駭客技術能力來進行金融詐騙。根據他們所註冊網域的使用情況,這集團一開始是在2007年進行假(流氓)防毒產品的生意。在2009年,Winnti集團轉移目標到韓國的遊戲公司,使用自製的資料和檔案竊取惡意軟體。
這集團的主要動機是為了錢,特色是會用自主研發的特製工具來進行攻擊。他們曾經攻擊遊戲伺服器來非法取得遊戲內的金幣(「遊戲黃金」也具備現實世界的價值)和偷走網路遊戲專案的程式碼。這團體還會竊取數位憑證,用來簽署自己的惡意軟體以達到不被偵測的效果。這Winnti集團的目標很多元,包括製藥和電信等企業。這集團因為進行針對性攻擊/鎖定目標攻擊(Targeted attack )相關惡意活動而被關注,如部署魚叉式釣魚攻擊(SPEAR PHISHING)和建立後門。
在研究Winnti集團的過程中,趨勢科技發現沒被回報過的惡意軟體可以歸因到此團體,因為這惡意軟體所用的程式庫和攻擊用基礎設施所用的註冊網域。這些樣本還讓我們找出更多的C&C伺服器,得到比原本預計更多的資訊。
仔細檢視Hack520
對Hack520所註冊網域的初步調查顯示,有類似網域(如下)使用其他身分註冊。
- hack520[.]co[.]kr
- shaiya[.]kr
- zhu[.]kr
- shenqi[.]kr
- zhuxian[.]kr
其中有數個網域都跟Winnti惡意分子所使用的惡意軟體有關聯。令人驚訝的是,不用花多長時間就可以取得關於Hack520的資訊:有人用這暱稱經營部落格,一個Twitter帳號(使用類似Hack520的暱稱)也直接連結到這部落格。
