上个月日本电脑紧急应变团队暨协调中心(JPCERT/CC)揭露攻击行动MirrorFace的最新态势,当中提及黑客锁定当地制造业、研究机构发动攻击,企图在这些企业组织植入后门程序NoopDoor,如今有资安业者公布与这支恶意程序有关的细节。
根据资安业者Cybereason的调查,中国黑客组织APT10使用LodeInfo与NoopDoor两款恶意程序,锁定日本企业组织发起名为Cuckoo Spear的攻击行动,而能在受害组织的网络环境活动长达2至3年。他们提及这项攻击行动与黑客组织Earth Kasha,以及另一起攻击行动MirrorFace有所关连,因为这三个行动所用的武器有个共通点,那就是APT10惯用的恶意程序LodeInfo。
研究人员提到,黑客在使用NoopDoor的攻击行动,同时运用后门程序LodeInfo,然后使用新的后门程序窃取受害组织数据。他们看到黑客的攻击目标是日本的关键基础设施及学术机构,推测黑客的目的是从事网络间谍活动。
仅管这群攻击者会运用不同手段接触目标,但最主要的方式还是使用网络钓鱼,然而,这些黑客现在也开始调整策略,利用漏洞来入侵受害组织,而这样的发现与JPCERT/CC公布信息互相呼应。
接着,黑客会试图在受害电脑上植入NoopDoor,这个后门程序采模块化设计,并通过网域名称生成算法(DGA)进行C2通信。攻击者利用名为NoopLdr的恶意程序加载工具将NoopDoor解密、运行。
为了维持NoopDoor持续在受害电脑运作,黑客根据不同情境,使用了3种方法来达到目的。
其中一种是通过工作调度运行公用程序MSBuild,加载恶意的XML文件,从而在运行时编译、启动恶意程序加载工具。
另一种则是滥用WMI事件,攻击者利用ActiveScript运行JavaScript引擎,触发MSBuild运行NoopDoor的加载工具。
最后一种借由设置恶意服务,加载未经签章的DLL文件来达到目的。
研究人员指出,黑客同时使用LodeInfo、NoopDoor两支后门程序攻击时,很有可能以LodeInfo为主,NoopDoor为辅,而这样的做法让黑客能长时间存取受害组织网络环境。