亚太地区出现新的网络间谍活动,主要锁定越南的政府与军事单位

在去年六月,卡巴斯基披露了针对越南政府及军事单位的网络间谍活动,最终的恶意程序载体(Payload)是远程管理工具,让攻击者可以完全控制受感染的设备,而这些活动的发起者,是与黑客团体Cycldek有关的组织,而Cycldek本身是从2013开始活跃的威胁团体,成员主要是以中文沟通。

在这次攻击行动下,受到影响的计算机有数十台,有80%的计算机都在越南,而这些计算机大多属于政府或军事单位,不过,有些计算机是与卫生、外交、教育或政治等领域有关,也有一些是位于中亚与泰国。

卡巴斯基表示,因为中文沟通的威胁组织,时常会互相分享攻击技术与方法,所以,安全研究人员过去曾循线找到LuckyMouse、HoneyMyte、Cycldek等黑客团体,而这也是他们发现锁定越南政府及军事单位威胁组织使用的战术,竟是DLL侧载(DLL side-loading)时,而由于此种手法就是这类黑客团体最广为人知的攻击手法,也就马上引起了注意。

关于DLL侧载,其实是一种利用合法签署的文件,却偷偷加载恶意DLL档的伎俩,能让攻击者躲过安全产品的侦测,而在这个最近卡巴斯基发现的恶意活动其中,他们看到DLL侧载感染链(DLL side-loading infection chain)执行shellcode,以此解开最终的恶意程序载体,也就是远程访问木马程序FoundCore,能让攻击者完全控制已感染该恶意程序的设备。

然而,在这个DLL侧载链中,还会下载额外两个恶意软件:DropPhone和CoreLoader。DropPhone会从受害者的设备收集环境信息后,将这些内容发送到DropBox。CoreLoader则是执行程序代码,让恶意软件能够躲过安全产品侦测──根据卡巴斯基的分析,他们发现CoreLoader是感染过程的最后一个文件,是一个简易的shellcode加载机制,能执行反侦测,以及从另一个WsmRes.xsl文件加载额外的程序代码,而这个文件也会躲避研究人员试图抓取的动作,因此他们怀疑这可能与FoundCore有关。

对于保护恶意程序代码免于分析的方式上,卡巴斯基发现攻击者也采用相当先进、复杂的手法。例如,在最终恶意程序载体的档头,也就是程序代码的目的地与来源,会被完全去除,只有少部分还保留,而这其中残留一些不连续的数值。通过这种做法,攻击者会让研究人员更难以对恶意软件进行逆向工程分析。

更棘手的是,感染链所包含的组件,是处于紧密耦合的状态,这意味着,从单一部分而言,很难、甚至不可能以隔开的方式进行分析,让研究者难以了解整个恶意活动的全貌。