這是一起典型的國家級網路間諜行動,受害者是巴基斯坦的多個執法機構,包括俾路支省警察局(Balochistan Police)以及伊斯蘭馬巴德等地的警政單位。這起事件之所以值得工程師關注,是因為它展示了攻擊者如何將「政府數位化服務」轉化為「惡意軟體分發中心」,且同時有多個不同背景的駭客組織在同一目標上運作。
攻擊目標的核心價值
為什麼駭客如此執著於警政系統?對於安全研究員來說,這類機構持有的是政府的內部安全視圖。這包括生物識別記錄(Biometric records)、犯罪檔案、人員紀錄以及酒店與租戶登記。掌握這些數據,攻擊者可以得知該國政府如何監控內部威脅、掌握哪些情報,以及對特定對象採取什麼行動。
攻擊路徑與技術手法
這次攻擊採取了多層次的滲透策略,主要可分為三個維度。
首先是基礎設施的攻陷。攻擊者針對網路設備(Network Appliances)和 Web 伺服器進行攻擊。例如,俾路支省警察局的 FortiMail(一種企業級郵件閘道設備,負責過濾進出郵件)被攻破,這讓攻擊者能直接控制郵件流量或發送釣魚郵件。
其次是將合法平台武器化。攻擊者入侵了名為 Complaint Management System (CMS) 的投訴管理系統。這是一個讓公民提交投訴並讓警員處理的對外門戶。駭客將惡意植入物(Implant)上傳至此,使該平台變成一個分發惡意軟體的跳板。當警員或公民訪問該頁面時,可能會被誘導下載更新,實際上是安裝後門。
最後是偽裝與逃避偵測。攻擊者使用了兩種特殊的植入物。一種是用 Rust 語言編寫的 Stager(階段性載入器),它會從遠端伺服器下載後續載荷,並在執行後顯示更新完成的假訊息來欺騙使用者。另一種則是 .NET 執行檔,它偽裝成知名安全軟體 360 Total Security 的合法檔案 360Safe.exe,利用反射載入(Reflective Loading)技術將 AsyncRAT(一種遠端管理工具)載入記憶體,以避開傳統的檔案掃描。
多方勢力的交匯與工具鏈
這次事件最有趣的地方在於,不同背景的駭客組織(Threat Actors)同時在同一目標上活動。
與中國關聯的組織使用了 PlugX 和 ShadowPad。這兩者是典型的國家級間諜工具,ShadowPad 被視為 PlugX 的後繼者,具有極強的隱蔽性和持久化能力。此外,他們還使用了 Cobalt Strike,這是一款在滲透測試中常見的商業工具,但經常被駭客用作命令與控制(C2)伺服器的管理端。
與印度關聯的組織則部署了 Remcos RAT。這類工具通常用於遠端監控,且其基礎設施特徵與已知組織 Mysterious Elephant 具有高度重疊。
在社會工程學方面,攻擊者設計了針對性的誘餌文件,例如偽裝成關於遣返非法外籍人士(包括阿富汗公民卡持有者)的行動計畫,誘使目標點擊並執行惡意程式。
實務啟示與反思
對於維護公共服務系統的工程師來說,這次事件提供了幾個關鍵教訓。
第一,對外門戶的權限管理至關重要。當 CMS 系統被攻破後,它不再僅僅是數據洩漏點,而變成了攻擊內網人員的跳板。這意味著 Web 應用程式的漏洞可能導致整個組織內網的崩潰。
第二,不能過度依賴檔案名稱的信任。攻擊者利用合法軟體名稱(如 360Safe.exe)來掩蓋惡意行為。在監控系統中,應更關注行為特徵(如異常的記憶體載入或非預期的外部連線),而非單純檢查檔案名稱。
第三,設備的生命週期管理。郵件閘道等網路設備往往被視為黑盒子,如果缺乏及時的補丁更新或監控,它們將成為駭客進入內網最簡單的入口。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。