近期安全研究揭露了一場名為 Operation XENOFISCAL 的網路攻擊行動。這次攻擊由與巴基斯坦關聯的威脅組織 SideCopy(屬於 Transparent Tribe 或 APT36 體系)發起,目標精準鎖定在阿富汗財政部、各省稅收與財務部門以及政府官員。
對於初入行的工程師來說,這類攻擊最值得關注的不是它的政治背景,而是它如何結合社交工程與系統漏洞來達成「持久化控制」。
社交工程與精準誘餌
這次攻擊的核心在於 Spear Phishing(魚叉式網路釣魚)。與大規模隨機發送的垃圾郵件不同,魚叉式釣魚會針對特定對象設計內容。SideCopy 組織使用了 Pashto 語(阿富汗政府主要使用語言)來命名惡意檔案,讓受害者在心理上降低戒心,認為這是官方或內部文件。
這種針對語言與文化背景的設計,顯示出攻擊者在執行技術攻擊前,已經對目標環境進行了深入的 reconnaissance(偵查)。
感染鏈的技術拆解
攻擊者並非直接發送執行檔,而是採取多層跳轉來規避防毒軟體的偵測。
首先,受害者會收到一個 ZIP 壓縮檔,裡面包含一個 LNK 檔案(Windows 快捷方式)。當使用者點擊這個快捷方式時,它會調用系統內建的 mshta.exe。這是一個用來執行 HTML 應用程式(HTA)的工具。
接著,mshta.exe 會從一個被駭掉的阿富汗教育域名下載遠端 HTA 檔案,並在記憶體中執行經過混淆處理的 JavaScript 程式碼。這種在記憶體中執行(Fileless)的手法,可以有效避開傳統掃描硬碟檔案的防毒軟體。
為了確保電腦重啟後依然能控制設備,攻擊者使用了 Registry-based persistence(基於登錄檔的持久化)。他們在 Windows 登錄檔中偽裝成 Microsoft Edge 瀏覽器的啟動項,讓惡意程式在系統啟動時自動執行。
Xeno RAT 的功能與威脅
最終被植入的工具是 Xeno RAT。RAT 全稱是 Remote Access Trojan(遠端存取木馬),是一種允許攻擊者完全控制受害者電腦的惡意軟體。
Xeno RAT 1.8.7 版本具備極強的間諜功能,包括: 透過 TCP 連接遠端伺服器接收指令。 記錄鍵盤輸入(Keylogging)與監控剪貼簿,用以竊取密碼或機密文件。 啟動視訊鏡頭與麥克風進行監聽。 截圖並傳回伺服器。 支援 SOCKS5 代理網路隧道,這讓攻擊者能將受害電腦當作跳板,進一步滲透內網的其他設備。 能夠載入外部 DLL 模組,意味著攻擊者可以根據需求隨時更新功能。
這類工具的目的不在於破壞系統,而是在於長期、隱蔽地竊取資訊。
跨平台攻擊的趨勢
值得注意的是,同樣的組織 Transparent Tribe 也在針對印度軍方進行攻擊。但這次他們改變了策略,使用了 Linux 的 .desktop 檔案(類似 Windows 的快捷方式)作為載體,並透過 WhatsApp 進行社交工程。
這顯示出高級威脅組織(APT)會根據目標的作業系統(Windows 或 Linux)靈活切換攻擊工具鏈,例如在 Linux 環境中使用 Golang 編寫的 ELF 植入物(DeskRAT)。
總結與防禦建議
對於工程師而言,這次事件提醒我們幾個關鍵防禦點: 第一,不要信任任何來源不明的快捷方式(LNK)或執行腳本,尤其是那些試圖調用系統工具(如 mshta.exe, powershell.exe)的行為。 第二,監控異常的登錄檔啟動項,尤其是那些名稱看起來像合法軟體但路徑可疑的項目。 第三,實施最小權限原則,限制一般使用者執行系統管理工具,增加攻擊者橫向移動的難度。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。