前情提要
根據 Group-IB 在本月8月18日發佈的調查報告顯示,自2021年起,該組織利用內部的Treat Intelligence 工具對APT 41 駭客組織活動發起活動的觀察與分析,並發現在2021年,不包含 Group-IB 事先攔截的攻擊,至少有 13 個受害組織受到 APT 41的成功攻擊,其影響範圍包括:美國、台灣、印度、中國、泰國、香港、蒙古、印尼、越南、英國等等。其中,台灣的受攻擊對象包括:新聞單位、政府單位、主要的電子設備製造廠、物流公司等等。
攻擊者資訊
透過攻擊活動的 TTPs (tactics, techniques and procedures) 與惡意程式碼的比對,Group-IB 認為 APT-41 為來自 UTC+8 時區的中國的駭客團體。其發跡於2007年,又名 BARIUM, Winnti 或 Double Dragon;其內部成員因未經授權的存取保護設備,身份盜竊、洗錢和電匯欺詐等等罪名被美國的 Department of Justice 在 2020 年時控訴。
攻擊手法
APT-41 的攻擊手法和傳統加重目標伺服器上負載 (payloads) 的方式不同,APT-41 會將payloads 以 Cobalt Strike Beacon 滲透測試的編碼方式進行多階段編碼,以搜尋可以介入的弱點。其攻擊手段通常包含以下階段:
事先偵察 (Reconnaissance) :
事先偵察的階段主要可以分為主動掃描與被動掃描,其使用工具各別為-
(1) 主動掃描- Acunetix, Nmap, JexBoss, sqlmap
(2) 被動掃描-fofa.su
初步介入 (initial access)
APT-41 駭客組織滲透通常使用:釣魚信件 (phishing emails), 弱點開發 (exploiting a vulnerabilities) 、水坑( watering hole) 或是供應鏈攻擊 (supply chain attacks) 取得對於目標伺服器控制殼層 (command shell) 的控制。在取得對於控制殼層的控制後, 部份 APT41 成員可以對於伺服器執行指令,上傳特定執行碼檔案、有時也會存取使用者的帳號資料、密碼,在這一個階段 APT-41 駭客組織 主要使用的工具為 Cobalt Strike Beacon 滲透測試工具。
執行 (Execution) and 維持 (Persistence)
在執行階段,APT-41 駭客組織在伺服器中執行先前上傳的惡意程式碼;在維持階段,APT-41 駭客組織會利用 Task Scheduler 製造 Windows的服務,更改自己的使用者權限 (privillege escalation)、並阻斷安全保護功能 (defense evasion)。
探索 (discovery)
APT-41 駭客組織在此階段會透過內網,了解更多伺服器的資訊,以做為後續對於同級設備/系統入侵 (lateral movement) 的依據。此探索階段包含了,對帳號 (account)、系統資訊 (system information) , 允許權限名單 (permission groups),信任網域 (domain trust),活動記錄 (process),網路服務 (network service),遠端系統 (remote system) 等等階級的資料探索。
參考資料