APT & 針對式目標攻擊
Earth Lusca 使用地緣政治議題為誘餌在大選前夕攻擊台灣
在我們監控 Earth Lusca 的期間,我們發現他們發動了一起新的攻擊行動,利用兩岸關係議題為社交工程誘餌來感染特定目標。
簡介
趨勢科技先前曾發表過多篇文章來探討一個我們稱之為「Earth Lusca」並列管追蹤的中國駭客集團。這個自 2020 年開始活躍至今的集團,會定期變換作案手法,並且曾同時發動多起不同的攻擊行動。
在我們監控該集團的期間,我們發現他們發動了一起新的攻擊行動,利用兩岸關係議題為社交工程誘餌來感染特定目標。對比我們之前看到的工具、技巧與程序 (TTP),我們相當肯定這起攻擊是 Earth Lusca 所為。
本文探討的這起攻擊行動,其活動期間應該介於 2023 年 12 月至 2024 年 1 月之間,攻擊中用到了一份談論兩岸地緣政治議題的文件。這份文件是在台灣大選前兩天才建立,而且文件似乎是從台灣某位地緣政治專家那邊所偷來。
值得注意的是最近發生的一起私密資料外洩事件也提供了一條新的線索指向一家名叫 I-Soon (安洵) 的中國企業,有關這兩個集團之間的關聯,我們有專門的一節來探討。Earth Lusca 與 I-Soon 不論是受害者、使用的惡意程式以及他們所在的地點,似乎都有很大的重疊性。所以至少證明了兩者之間有很大的關聯,關於這點,我們目前仍在追查當中。
Earth Lusca 的攻擊程序
使用魚叉式網路釣魚來突破防線
儘管我們無法判斷 Earth Lusca 當初是如何將感染用的檔案植入目標,但我們有找到一開始用來感染的檔案:一個名為「China_s gray zone warfare against Taiwan.7z」的壓縮檔 (.7z)。根據駭客集團之前的活動,我們懷疑這個檔案應該是經由電子郵件發送至目標,也許經由附件或連結。
此壓縮檔內有一個名叫「China’s gray zone warfare against Taiwan」(中國對台灰區戰爭) 的資料夾,裡面有兩個不同的 Windows 捷徑檔 (.LNK) 與一個叫「__MACOS」的資料夾。
這個「__MACOS」資料夾的名稱像極了 macOS 系統自動產生的「__MACOSX」資料夾 (預設隱藏,用來儲存每個資料夾的設定)。但在我們分析到的樣本中,這個 __MACOS 資料夾並不含任何 metadata,而是含有駭客下一階段的惡意檔案。
這個 __MACOS 資料夾中有兩個檔案,分別是「_params.cat.js」和「_params2.cat.js」。
根據它們的 metadata 顯示,這些檔案最後一次修改是在 2024 年 1 月 11 日。
第一階段:目標被隱藏的捷徑 (LNK) 檔案
使用者一旦點選上述的 LNK 檔案,就會執行 __MACOS 資料夾中的 JavaScript 程式碼。
使用者可以在惡意 LNK 檔案上點一下滑鼠右鍵來查看它的「target」(目標) 參數,只不過使用者只會看到 explorer.exe 這個檔案名稱,但後面卻跟著一堆空白字元,如圖 3 與圖 4 所示。
第二階段:加密編碼的 JavaScript 檔案
第二階段的檔案已經過 Dean Edward’s JavaScript Packer 工具的加密編碼,此工具專門用來將 JavaScript 程式碼加密編碼以阻礙分析和偵測。
第三階段:解碼後的 JavaScript 檔案與植入器
攻擊的第三階段會將一個含有十六進位資料的文字檔寫到 %APPDATA%\Roaming 目錄。
該文字檔內含「 4d534346」這串字,這是 Microsoft Cabinet File (MSCF) 封裝檔的識別記號。接著,JavaScript 會就地取材,呼叫幾個系統內建的 LOLBin 來將一個十六進位字串解碼變成一個二進位檔案 (certutil.exe),同時也解開封裝檔 (expand.exe)。
封裝檔解開後的內容包含了一個誘餌文件、一個經過簽章的合法執行檔,以及一個惡意的 DLL 函式庫。
根據以往看到的案例,這類誘餌文件通常是 Microsoft Word、 Microsoft PowerPoint 或 PDF 文件。雖然這批誘餌文件似乎是兩岸政治議題的專家所撰寫,但我們卻在網路上找不到其中的任何一個文件。我們相當懷疑這些文件是直接從作者或被害機構的員工那邊所偷來。我們已和這些作者及機構聯繫,提醒他們看看自己的系統是否有遭到入侵。
至於經過簽章的合法執行檔 360se.exe 是取自於 Qihoo 360 (奇虎 360),並且已被 Earth Lusca 重新命名為 pfexec.exe,該檔案曾在一起案例中用來挾持 DLL,一旦啟動,它就會執行同一資料夾內的 DLL 函式庫 (chrome_elf.dll)。
第四階段:Cobalt Strike 無階段用戶端 (加密編碼的惡意 DLL 函式庫)
感染程序的最後階段是一個無階段 Cobalt Strike 惡意檔案。其內嵌的組態設定當中有以下幾個參數值得注意:
C2Server - upserver.updateservice.store,/common.html
HttpPostUri - /r-arrow
Watermark - 100,000,000
類似攻擊
趨勢科技在監控這起行動的期間,收到了更多結構類似的壓縮檔,而且使用了類似的技巧,但檔案名稱、誘餌名稱,以及幕後操縱 (CC) 伺服器等等卻不盡相同。
這當中有一個值得注意的檔案是「ppt-cih1w4.7z」這個 7z 壓縮檔,裡面含有一個名為「Sino-Africa_relations」(中非關係) 的資料夾,如圖 8 所示:
該資料夾內同樣包含一個 LNK 檔案和一個「__MACOS」資料夾 (含惡意檔案),但其時間戳記為 2023 年 12 月 22 日。
它類似之前分析到的壓縮檔,同樣也是包含了多個攻擊階段,並在最後階段使用 Cobalt Strike,只不過組態設定有所不同。其 CC 伺服器的名稱使用了網路資安廠商 Cybereason 的名稱。而且這一次的設定檔也不同,並使用了不同的網址,不過浮水印倒是相同。
C2Server - www.cybereason.xyz,/mobile-android
HttpPostUri - /RELEASE_NOTES
Watermark - 100,000,000
攻擊始於 2024 年前夕
正如簡介中提到,本文揭露的這起行動,其活動期間可能介於 2023 年 12 月至 2024 年 1 月之間,而使用的誘餌文件是在台灣大選前兩天才建立。
Earth Lusca 使用的 CC 伺服器網域 (updateservice[.]store) 是在 2023 年 12 月 12 日以匿名方式註冊,其中的一個子網域被用來做 CC 通訊 (upserver.updateservice[.]store)。
而攻擊行動用到的另一個 CC 網域 (Cybereason[.]xyz) 是在 2023 年 10 月 27 日以匿名方式註冊。
兩台 CC 伺服器在本文撰稿當時都已經無法連上。
除此之外,我們也有證據顯示 Earth Lusca 曾經攻擊台灣某個專門研究國際政治與經濟情勢的民間智庫。
儘管在截稿之前我們還無法找到其他被攻擊的目標,但我們懷疑 Earth Lusca 當時也許有打算攻擊更多政治相關機構。
I-Soon 資料外洩提供的線索
前一陣子在 GitHub 上發生了一起外洩事件,一家名叫 I-Soon (安洵) 的中國企業有大量資料遭到曝光,這家公司似乎從 2016 年開始活躍至今。該公司在自己的網站上宣稱自己是一家「APT 防禦及研究實驗室」,其服務內容包括:攻擊與防衛性安全、反詐騙解決方案、區塊鏈鑑識分析解決方案、資安產品等等。此外,該集團也提到他們與多個公安單位和政府機關都有合作。值得一提的是,I-Soon 從 2017 年至今已獲得了好幾輪資金,其中一位金主就是中國防毒軟體公司 Qihoo (奇虎),前面提到他們有一個執行檔被用來挾持 DLL。
從 I-Soon 資料外洩事件的幾個特點來看,我們認為 Earth Lusca 的活動與這次的外洩有一些地方很像:
- Earth Lusca 和 I-Soon 的受害者有部分重疊:在 I-Soon 外洩的資料中,其攻擊的受害者名單上有一些名字也出現在 Earth Lusca 攻擊的受害者名單。
- I-Soon 和 Earth Lusca 所使用的惡意程式和工具有部分強烈重疊,例如 ShadowPad、Winnti 兩個惡意程式以及其他幾個工具,都是 Earth Lusca 和 i-Soon 頻繁使用的工具。
- 我們還發現兩者所在的地理位置也重疊,在一篇 2023 年 9 月的部落格中,我們曾提到 Earth Lusca 的 IP 位置來自四川成都,而 I-Soon 滲透團隊的主要辦公室也在這裡。
結論
Earth Lusca 是目前依然活躍的一個駭客集團,以網路間諜為主要活動。企業須隨時戒備並小心提防這類採用精密工具、技巧與程序的 APT 集團,尤其是政府機關,萬一不幸被駭客成功竊取了機密資訊,不僅將危害國家安全與經濟穩定,更可能影響國際關係。若受害的是民間機構,一旦遭到網路間諜攻擊,不僅可能損失客戶信任,更可能造成營運中斷,進而導致財務上的嚴重後果。
Earth Lusca 偏好使用電子郵件搭配社交工程技巧為其主要感染途徑,且善於利用一些社會與經濟相關議題 (如同這次的攻擊行動),因此我們建議不論是一般使用者或企業都應該嚴格遵守資安最佳實務原則,例如:避免點選可疑郵件與網站上的連結、隨時保持軟體更新以盡可能避免自己成為 Earth Lusca 攻擊的受害者。
MITRE ATT&CK 技巧
以下是駭客用到的一部分 MITRE ATT&CK 手法與技巧:
| 手法 | 技巧 | 編號 | 說明 |
|---|---|---|---|
| 突破防線 | 網路釣魚:魚叉式網路釣魚連結 | T1566.002 | 發送挾帶惡意附件的魚叉式網路釣魚郵件,試圖進入受害者的系統。 |
| 執行 | 指令與腳本解譯器:Windows 指令列介面 (cmd) | T1059.003 | 利用指令列介面 (cmd) 來執行各種命令與惡意檔案。 |
| 執行 | 指令與腳本解譯器:JavaScript | T1059.007 | 執行各種命令與惡意檔案。 |
| 執行 | 使用者執行:惡意連結 | T1204.001 | 駭客可能依靠使用者幫忙點選惡意連結來執行。 |
| 執行 | 使用者執行:惡意檔案 | T1204.002 | 駭客可能依靠使用者幫忙開啟惡意檔案來執行。 |
| 躲避防禦 | 解密/解碼檔案或資訊 | T1140 | 使用加密編碼的檔案或資訊來隱藏入侵痕跡以避開資安人員的分析。 |
| 躲避防禦 | 掩蓋痕跡:隱藏檔案和目錄 | T1564.001 | 隱藏檔案和目錄來躲避偵測機制。 |
| 躲避防禦 | 挾持執行流程:DLL 搜尋順序挾持 | T1574.001 | 駭客可能挾持系統載入 DLL 時的搜尋順序來執行自己的惡意檔案。 |
| 躲避防禦 | 間接執行指令 | T1202 | 使用一些可避開指令列解譯器執行限制的工具來讓他們執行指令。 |
| 躲避防禦 | 障眼法:重複的副檔名 | T1036.007 | 使用重複的副檔名來掩蓋檔案真正的類型。 |
| 躲避防禦 | 加密編碼的檔案或資訊:軟體封裝 | T1027.002 | 駭客可能使用軟體封裝或虛擬機器軟體反制手段來隱藏程式碼。 |
| 躲避防禦 | 加密編碼的檔案或資訊:內嵌式惡意檔案 | T1027.009 | 駭客可能將惡意檔案內嵌到其他檔案當中來隱藏惡意內容進而躲避防禦。 |
| 躲避防禦 | 加密編碼的檔案或資訊:LNK 圖示偷渡 | T1027.012 | 駭客可能偷渡一些下載惡意檔案的指令,將指令隱藏在看似無害的 Windows 捷徑 (LNK) 內,進而避開內容過濾機制。 |
| 搜尋 | 檔案與目錄搜尋 | T1083 | 駭客可能列出檔案與目錄。 |
| 幕後操縱 (CC) | 資料編碼 | T1132 | 駭客可能將資料編碼讓幕後操縱流量的內容更難被偵測。 |
| 幕後操縱 (CC) | 資料加密編碼 | T1001 | 駭客克能將幕後操縱流量加密編碼使其更難被偵測。 |
| 幕後操縱 (CC) | 加密管道 | T1573 | 駭客可能使用已知的加密演算法來隱藏幕後操縱流量。 |
| 資料外傳 | 經由幕後操縱管道將資料外傳 | T1041 | 駭客可能利用現有的幕後操縱管道將偷到的資料外傳。 |