駭客在攻擊行動裡濫用合法雲端服務的情況,因為能夠藉由這些服務的正常流量掩蓋非法行為,使得資安系統可能不會觸發警報,這樣的手法已是經常出現,最近有資安業者表示,他們看到今年這樣的態勢出現顯示增加的情況。
資安業者賽門鐵克指出,由於攻擊者希望避免引人注目並降低維護基礎設施的成本,他們發現有越來越多駭客加入濫用雲端服務的行列,並開發更多用於這類攻擊的作案工具,並出現過往較為罕見的手法。研究人員在黑帽大會的議程上,公布相關調查結果。
值得留意的是,雖然研究人員表示駭客很可能會濫用微軟OneDrive或Google Drive,但在他們公布的6起惡意程式攻擊裡,有超過半數都利用OneDrive,甚至有搭配圖學資料分析服務Microsoft Graph API、程式碼儲存庫GitHub的情況。
在這些攻擊行動裡,我們認為名為Grager的後門程式最值得留意,原因是這起資安事故的攻擊目標涵蓋臺灣。研究人員在今年4月,看到中國駭客組織UNC5330針對臺灣、香港、越南的企業組織,部署這支後門程式。
駭客究竟如何尋找攻擊目標,研究人員並未說明,但他們提及惡意檔案來自冒牌的7-Zip網站,一旦使用者依照指示進行下載、安裝MSI檔,電腦就會在部署此壓縮軟體的過程,一併將惡意程式載入工具Tonerjam植入,並用來解密、執行後門程式Grager。
而這支後門程式啟動時,會解密用戶端ID(client_id)並根據儲存體(Blob)更新存取OneDrive的憑證(Token),從而與駭客控制的OneDrive帳號連線。該後門程式能收集系統資訊,讓攻擊者能上傳、下載,或是執行檔案,並截取檔案系統的相關資料,包括磁碟容量與類型資訊。
另一個鎖定南亞媒體而來的後門程式GoGra,研究人員認為也相當值得留意,因為,駭客將微軟的郵件服務充當C2伺服器。
究竟駭客如何對後門程式下達命令?研究人員指出,此後門程式會讀取寄件人為FNU LNU的電子郵件,這些信件的主旨皆以Input開頭,而後門程式使用特定金鑰並透過密碼區塊連結(Cipher Block Chaining)模式的AES-256演算法,解密命令的內容,並透過cmd.exe執行。
當駭客交付的命令完成後,GoGra會將執行結果加密處理,並以Output為主旨的信件,回傳給前述的使用者。
而對於攻擊者的身分,研究人員指出是他們3年前揭露的國家級駭客Harvester,這些駭客主要鎖定南亞組織發動攻擊。
還有被用於攻擊美國及歐洲IT服務業者的惡意程式OneDriveTools相當特別,此為多階段執行的後門程式,攻擊過程濫用多種雲端服務。攻擊者初期先執行惡意程式下載工具,透過Microsoft Graph的API進行身分驗證,然後從OneDrive下載第二階段酬載並執行。
接著,攻擊者從GitHub下載OneDriveTools最終的惡意酬載,並在OneDrive與受害電腦建立特定的資料夾,讓受害電腦透過OneDrive回傳受到感染的情況,並接收駭客的命令。
值得留意的是,攻擊者為了隱匿行蹤,他們使用名為Whipweave的隧道工具,連線到稱做Orbweaver的Operational Relay Box(ORB)網路,從而混淆攻擊來源。
熱門新聞
2024-09-13
2024-09-10
2024-09-09
2024-09-09
2024-09-12
2024-09-10
2024-09-11
2024-09-10