近期資安公司 Proofpoint 揭露了一個被命名為 TA4922 的駭客組織活動。這個組織被認為與中國有關,原本主要針對東亞地區,但現在已將攻擊範圍擴展至英國、德國、義大利與南非。對於工程師而言,比起關注攻擊者的國籍,更重要的是分析他們如何突破企業防禦以及使用的技術手段。
TA4922 的核心目的與傳統的國家級間諜活動不同,他們更傾向於金錢獲利。這類攻擊者通常會試圖獲取目標環境的遠端存取權限,隨後進行數據竊取、詐騙,或是將獲取的存取權限轉賣給其他犯罪組織。
社交工程與溝通渠道的轉移
TA4922 最擅長的是利用心理弱點。他們會發送與人力資源 HR、商務發票或稅務機關相關的釣魚郵件,讓員工放下戒心。
值得注意的是,他們採取了一種稱為 Out-of-band Communication 的策略,也就是將對話從公司監控的電子郵件,誘導至 LINE、WhatsApp 或 Microsoft Teams 等外部通訊軟體。這樣做的目的是為了繞過企業的郵件安全閘道或監控系統,在不受監控的環境中交付惡意軟體或竊取敏感資訊。
核心技術手段:DLL Side-Loading
在技術執行層面,TA4922 頻繁使用 DLL Side-Loading 技巧。對於 Junior 工程師來說,這是一個必須理解的攻擊概念。
簡單來說,許多正版軟體在啟動時會載入特定的動態連結庫 DLL 檔案。如果攻擊者能將一個惡意的 DLL 檔案,命名為該軟體預期載入的名稱,並放置在軟體執行檔所在的同一目錄下,系統可能會優先載入這個惡意 DLL 而非系統路徑中的正版 DLL。這樣攻擊者就能在合法程序的掩護下,執行惡意程式碼,有效規避許多防毒軟體的偵測。
TA4922 的惡意軟體工具箱
該組織擁有相當豐富的工具庫,主要分為兩類:
第一類是遠端存取木馬 RAT,例如 ValleyRAT 與 Atlas RAT。RAT 是一種允許攻擊者遠端控制受害者電腦的工具,可以監控螢幕、竊取檔案或執行指令。
第二類是載入器 Loader,例如 RomulusLoader 與 SilentRunLoader。Loader 的作用像是一個前哨站,負責在受害者電腦上建立初步據點,隨後再根據需求下載並安裝更強大的攻擊工具。例如 SilentRunLoader 會專門針對 Google Chrome 瀏覽器,竊取儲存的密碼、Cookie 以及瀏覽紀錄。
攻擊路徑實例分析
根據觀測,TA4922 的攻擊流程通常如下:發送 HR 或稅務主題的釣魚郵件,誘導使用者下載附件。附件透過 DLL Side-Loading 執行 RomulusLoader 或 SilentRunLoader,最後部署 AnyDesk 等遠端桌面工具,讓攻擊者直接掌控該台電腦。
這類攻擊的危險在於其靈活性。雖然目前觀察到是以金錢為目的,但他們部署的 RAT 具備強大的監控能力,這意味著這些權限隨時可以被轉手給專業的間諜組織,將金融犯罪升級為國家級的資訊竊取。
防禦建議
面對這類攻擊,單靠防毒軟體是不夠的。企業需要強化對異常 DLL 載入的行為監控,並教育員工警覺任何要求將商務對話轉移至私人通訊軟體的請求。同時,針對瀏覽器快取與 Cookie 的保護,以及實施嚴格的權限管理,能有效降低被竊取憑證後的損害。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。