這是一起針對印度稅務體系、財務專業人員與企業財務團隊的精準攻擊行動,被安全研究機構 Seqrite Labs 命名為 Operation DragonReturn。這次攻擊並非隨機的大規模釣魚,而是針對特定季節(報稅季)與特定人群設計的社會工程學攻擊。
對於初入行的工程師來說,理解這類攻擊的核心在於其多層次的載入機制。攻擊者不會直接發送病毒檔案,因為那會被防毒軟體立刻攔截,而是透過一系列的偽裝與技巧,逐步在受害者的電腦中建立控制權。
攻擊的起點是社會工程學。攻擊者發送偽裝成印度所得稅局的釣魚郵件,內容利用稅務違規或罰款等恐嚇資訊營造緊迫感,誘導使用者點擊 PDF 附件中的惡意連結。這個連結會將使用者導向一個偽造的官方下載頁面,讓使用者下載一個看似是官方離線報稅工具的 ZIP 壓縮檔。
這裡引入了一個關鍵的技術概念:DLL Side-loading(DLL 側載)。這是一種利用合法程式載入 DLL 檔之機制來執行惡意代碼的技巧。攻擊者會提供一個合法的執行檔,但隨附一個惡意修改的 DLL 檔(在本案中為 nvdaHelperRemote.dll)。當合法程式啟動時,它會優先載入同目錄下的該 DLL 檔,從而讓惡意代碼在合法程序的掩護下執行,有效繞過許多基礎的端點防護偵測。
一旦惡意 DLL 執行,它會嘗試獲取管理員權限。如果權限不足,它會觸發 Windows 的 UAC(使用者帳戶控制)彈窗,誘導使用者點擊允許。接著,它會進行環境檢查,確認自己是否在沙箱(Sandbox,一種用於分析惡意軟體的隔離環境)中執行,以避免被安全研究員發現。
為了進一步隱藏載荷,攻擊者使用了 Steganography(隱寫術)的概念。惡意程式會從遠端伺服器下載一張看似普通的 JPG 圖片,但實際上這張圖片是一個容器,裡面封裝了第二階段的惡意 DLL。這種做法能讓流量分析工具認為這僅僅是在下載一張圖片,而非法定惡意檔案。
最後,攻擊者部署了 DcRAT(一種遠端存取木馬 Remote Access Trojan)。DcRAT 的目的是讓攻擊者能完全掌控受害者的電腦,包括截圖、竊取敏感數據、獲取憑證以及在系統中建立持久化機制(Persistence),例如透過建立 Windows 服務 MixedSvc,確保電腦每次重啟後惡意程式都會自動執行。
從基礎設施分析來看,此次攻擊使用了中國電信(ChinaNet)的 IP 地址,且 C2(指令與控制)伺服器暴露了中文的管理面板。此外,其戰術與先前由 Silver Fox 組織發起的針對稅務主題的攻擊高度相似。
這類攻擊提醒我們,防禦不能只依賴單一的防毒軟體。從開發與維運角度來看,應強化對異常 DLL 載入的監控,並教育使用者對非官方管道下載的執行檔保持高度警覺,尤其是那些要求提升權限的工具。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。