在去年六月,卡巴斯基揭露了針對越南政府及軍事單位的網路間諜活動,這次活動的最終的惡意程式載體(Payload)是遠端管理工具,讓攻擊者可以完全控制受感染的設備,而這些活動的發起者,是與駭客團體Cycldek有關的組織,而Cycldek本身是從2013開始活躍的威脅團體,成員主要是以中文溝通。

在這次攻擊行動下,受到影響的電腦有數十臺,有80%的電腦都在越南,而這些電腦大多屬於政府或軍事單位,不過,有些電腦是與衛生、外交、教育或政治等領域有關,也有一些是位於中亞與泰國。

卡巴斯基表示,在過去,資安研究人員曾循線找到駭客團體,而他們發現這些組織使用的戰術,竟然是DLL側載(DLL side-loading)。

而關於DLL側載,其實是利用合法簽署的檔案,卻偷偷載入惡意DLL檔的一種伎倆,能讓攻擊者躲過資安產品的偵測,而在這個最近卡巴斯基發現的惡意活動當中,他們看到DLL側載感染鏈執行Shellcode,以此解開最終的惡意程式載體,也就是遠端存取木馬程式FoundCore,能讓攻擊者完全控制已感染這支惡意程式的設備。

漸進式的感染過程,最後才執行FoundCore

而在這次的事故中,身為關鍵也是最後一個角色的FoundCore,又是如何被植入的呢?這可以從卡巴斯基在Securelist的文章看到,他們在越南高層組織中的調查發現,FoundCore植入的過程,一開始,是在Microsoft Office的電子郵件軟體Outlook中,等待其載入合法元件(FINDER.exe)以後,就會執行包含惡意軟體的outllib.dll進行,接著執行位於二進位檔案(rdmin.src)中的Shellcode。解開最終的載體(Payload)。而這個最終載體就是FoundCore,它會透過RC4加密的原始TCP埠,或HTTPS,與C2伺服器連接進行溝通。

然而,在這個DLL側載鏈中,卡巴斯基也發現了兩個惡意軟體:DropPhone和CoreLoader,兩者的主要目的,皆是讓惡意軟體能夠躲過資安產品偵測。因此,他們懷疑,這可能就是讓FoundCore成為最終惡意載體,卻沒有被察覺的主要原因。至於,這個感染鏈為何觸發這兩個惡意軟體,在報告中,卡巴斯基未有更進一步的分析。


報名台灣唯一超規格資安盛會

熱門新聞


Advertisement