對於初入行的工程師來說,我們通常關注的是如何修補單一伺服器的漏洞,但進階持續性威脅(APT, Advanced Persistent Threat)的思考方式完全不同。他們不一定直接攻擊最終目標,而是先建立一套複雜的基礎設施。近期 Cisco Talos 的研究揭露了一個代號為 UAT-7810 的攻擊組織,其核心目的就是建構所謂的 ORB 網路。
什麼是 ORB 網路
ORB 全稱是 Operational Relay Box,簡單來說就是一個由大量被駭設備組成的中繼代理網路。攻擊者並不直接從自己的電腦對目標發起攻擊,而是將指令經過多層 ORB 設備轉發。這樣做有兩個關鍵目的:第一是隱匿真實來源,讓防禦者在日誌中看到的只有一群隨機的家用路由器或小型設備 IP;第二是繞過地理位置限制,讓攻擊流量看起來像是來自目標所在的本地區域。
UAT-7810 的分工與協作
值得注意的是,UAT-7810 扮演的是基礎設施提供者的角色。他們專門負責尋找漏洞、入侵設備並維護這套 ORB 網路,然後將這些通道提供給其他攻擊組織(例如 UAT-5918)使用。這種分工模式讓攻擊效率大幅提升,後端的攻擊者可以專注於針對台灣等地的關鍵基礎設施進行滲透,而不需要擔心自己的 C2 伺服器被發現。
從 ShortLeash 到 LONGLEASH 的演進
為了維持這個網路,UAT-7810 開發了一系列客製化的惡意軟體。最初的版本稱為 ShortLeash,而最新的進化版則被命名為 LONGLEASH。
LONGLEASH 不再僅僅是一個簡單的後門,而是一個功能完備的框架。它包含一個執行器組件,支援 HTTP、DNS、SOCKS、TCP、ICMP 和 UDP 等多種協定來進行流量代理。更危險的是,它能將被感染的設備轉化為中間層的 C2 伺服器(Command and Control Server,指令與控制伺服器),負責接收主控制端的指令並將其分發給其他受控設備。此外,它還具備自我保護機制,一旦偵測到被分析或篡改,會立即刪除所有痕跡。
除了 LONGLEASH,研究人員還發現了其他輔助工具。例如 DOGLEASH 是一個被動後門,可在 Linux 設備上執行任意 Shellcode(一段可直接在記憶體中執行的機器碼);JARLEASH 則是基於 Java 的後門,用於管理檔案傳輸與遠端控制。
攻擊路徑與設備漏洞
UAT-7810 偏好攻擊面向公網的網路設備,因為這些設備通常缺乏強大的端點防護軟體,且一旦被控制,非常適合用作流量中繼。他們主要利用未修補的已知漏洞,例如 Ruckus 無線路由器以及 ASUS AiCloud 路由器的漏洞。
對於工程師而言,這再次證明了韌體更新的重要性。許多人認為家用或小型企業路由器不需要頻繁更新,但對 APT 組織來說,這些未修補的 CVE 漏洞就是進入目標網路的絕佳跳板。
針對 MIPS 架構的持續測試
研究中提到一個名為 LEASHTEST 的工具,這是一個針對 MIPS 架構(一種常見於嵌入式設備與路由器的 CPU 指令集)的測試程式。這顯示出 UAT-7810 即使已經擁有成熟的 LONGLEASH 框架,仍在不斷測試其在不同硬體平台上的穩定性。這意味著他們正試圖擴展 ORB 網路的覆蓋範圍,讓更多類型的設備能被納入其控制之中。
總結與實務建議
這次事件揭示了現代網路攻擊的模組化趨勢:基礎設施建構與實際攻擊分開執行。對於維運工程師來說,防禦重點應放在減少攻擊面,包括關閉不必要的對外服務、嚴格執行設備韌體更新,以及監控異常的對外流量,尤其是那些不應出現的代理協定流量。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。