9月上旬傳出美國與中國對於關稅問題在斯德哥爾摩3度談判的前夕,中國駭客APT41(又稱Winnti、Earth Baku、Brass Typhoon)傳出假冒美國眾議員John Moolenaar寄送釣魚郵件,給美國政府機關、律師事務所、與貿易有關的團體,佯稱要收信人對於制裁中國的草案提供意見,意圖藉此散布惡意軟體,最近有資安業者公布新的調查結果。
資安業者Proofpoint指出,這些駭客在今年7月至8月,利用美中經濟議題為誘餌,不斷針對美國政府、智庫、學術機構從事網路釣魚活動,他們偽裝成現任的美國眾議院美國與中國共產黨戰略競爭特設委員會(United States House Select Committee on Strategic Competition between the United States and the Chinese Communist Party)主席(即前述提及的John Moolenaar)犯案,攻擊的標的存在共通點,那就是關注美中關係、貿易、經濟政策的個人或組織。
而對於APT41的攻擊手法,Proofpoint提及他們會濫用Visual Studio (VS Code)的遠端隧道(Remote Tunnel)功能,從而達到持續遠端存取受害電腦的能力;再者,駭客也濫用合法雲端服務,例如:Google Sheets、Google Calendar充當C2,但Proofpoint發現,駭客有時候也會利用VS Code遠端隧道來達到目的。
APT41濫用VS Code遠端隧道的情況,至少可追溯到一年前。去年8月,Proofpoint看到這些駭客的戰略、手法、流程(TTP)出現變化,其中一項就是開始運用上述VS Code功能,最終於受害電腦植入後門「佛地魔(Voldemort)」;9月他們調整了散布後門程式的感染鏈,使用名為WhirlCoil的Python惡意程式載入工具部署VS Code遠端隧道。
到了今年7月開始,APT41發起新一波攻擊行動,這些釣魚信通常含有Zoho WorkDrive、Dropbox、OpenDrive等雲端檔案共用服務的URL,收信人若是點選,就會下載受到密碼保護的ZIP壓縮檔。此外,Proofpoint根據寄信者IP位址,發現這些信是透過VPN服務Cloudflare Warp傳送。
這些壓縮檔內含Windows捷徑檔案(LNK),用途是執行隱藏資料夾當中的批次檔logon.bat,並將存放在OpenDrive的PDF檔案當作誘餌,顯示給收信人看。
上述BAT檔案執行WhirlCoil,此惡意程式載入工具是Python指令碼,一旦執行,就會從微軟下載VSCode的命令列(Command Line Interface,CLI),接著使用Python功能檢查使用者是否具備管理員身分,並建立偽裝成Google或微軟服務的工作排程,使得WhirlCoil每2個小時都會執行一次。附帶一提的是,假若使用者具有管理員權限,此工作排程就會以SYSTEM權限執行。
最終WhirlCoil會建立通過GitHub驗證的VS Code遠端隧道,並收集受害電腦的系統資訊,以及特定使用者檔案資料夾的內容,然後發出POST請求,將上述的內容及隧道的驗證碼,傳送到特定的事件記錄服務,使得駭客能透過此隧道存取受害電腦,並藉由Visual Studio終端機執行任意命令。
熱門新聞
2025-11-10
2025-11-10
2025-11-10
2025-11-07
2025-11-07
2025-11-07