分析中國背景的進階持續性威脅(APT, Advanced Persistent Threat)組織時,我們經常會發現不同群組之間存在著複雜的交集。近期 Cisco Talos 追蹤到一個名為 UAT-8302 的攻擊組織,其目標鎖定在南美洲與東南歐的政府機關。這起事件最值得工程師關注的不是單一的漏洞,而是 APT 集團之間「工具共享」與「權限移交」的協作趨勢。
APT 工具庫的共享現象
在傳統的資安分析中,我們習慣將特定的惡意軟體與特定的攻擊組織綁定,以此來判定攻擊來源。然而 UAT-8302 的行為打破了這個邏輯。該組織部署了多款由不同中國背景組織開發的自定義惡意軟體,顯示出這些組織之間存在著緊密的資源共享關係。
其中最典型的例子是 NetDraft(又稱 NosyDoor)。這是一個基於 .NET 框架開發的後門程式,本質上是 FINALDRAFT 的 C# 變體。這款工具曾出現在多個已知威脅群組的攻擊鏈中,包括 Ink Dragon、Earth Alux 等。甚至在針對俄羅斯 IT 組織的攻擊中,也被其他組織使用並命名為 LuckyStrike Agent。
除了 NetDraft,UAT-8302 還使用了 CloudSorcerer 後門、SNOWLIGHT 載入器(Stager,用於將主程式分段下載至目標主機的輕量化程式),以及 Deed RAT 等工具。這種跨組織的工具庫共享,讓防禦方很難單純透過惡意軟體特徵來定義單一攻擊者,增加了歸因分析的難度。
從入侵到滲透的實務路徑
雖然目前尚不清楚 UAT-8302 進入目標網路的確切初始路徑,但根據經驗,這類組織通常會利用 Web 應用程式的零日漏洞(Zero-day,尚未公開且無補丁的漏洞)或 N 日漏洞(N-day,已公開但企業尚未更新補丁的漏洞)來獲取初步權限。
一旦成功進入系統,攻擊者的後續動作遵循典型的 APT 滲透流程:
首先是內部偵察。他們會使用如 gogo 等開源自動化掃描工具,將目標內網的拓撲結構與設備分佈繪製出來。
接著是橫向移動(Lateral Movement)。在掌握網路地圖後,攻擊者會在不同伺服器之間跳轉,尋找高權限帳號或關鍵資料庫。
最後是持久化部署。為了確保即使系統重啟或部分路徑被封鎖仍能控制目標,他們會部署 VShell 等強大後門,甚至使用 Rust 語言編寫的 SNOWRUST 變體來下載執行載荷。此外,他們還會安裝 Stowaway 或 SoftEther VPN 等代理工具,將目標主機轉化為跳板,建立穩固的遠端控制通道。
權限即服務:Premier Pass-as-a-Service
這起事件揭示了一個更深層的趨勢,即 APT 組織之間開始採取分工合作的模式。Trend Micro 將這種現象稱為 Premier Pass-as-a-Service(權限即服務)。
簡單來說,這就像是駭客世界的承包制。例如,一個專精於「突破防線」的組織(如 Earth Estries)負責尋找漏洞並獲取初始進入權限,隨後將這個已經開啟的「入口」轉交給另一個專精於「資料竊取或破壞」的組織(如 Earth Naga)來執行後續任務。
對於工程師與資安維運人員來說,這種模式極其危險。因為它大幅縮短了攻擊者的偵察與突破時間,且由於參與者分工,單一組織被發現後,並不代表整個攻擊鏈被切斷,其他合作組織可能依然持有進入權限。
防禦建議與啟示
面對這種高度協作的 APT 攻擊,單靠邊界防火牆或單一防毒軟體已不足夠。我們應該將重心轉移到以下方向:
第一是強化內網可視化。既然攻擊者必然會進行橫向移動與內網掃描,監控異常的內部流量(East-West Traffic)比監控出入口流量更能及時發現滲透跡象。
第二是落實最小權限原則。限制服務帳號的權限,並對 VPN 或遠端管理工具的安裝進行嚴格審核,能有效阻斷攻擊者建立持久化通道的企圖。
第三是縮短漏洞修補週期。儘管零日漏洞難以防禦,但絕大多數的 APT 攻擊依然依賴 N 日漏洞。快速更新 Web 應用程式與系統補丁,能強迫攻擊者提高成本,增加其暴露的風險。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。