登入

會員權益

獲取需求

查看名片

專屬客服

尊貴標識

VIP低至1.5U/天

中國駭客組織APT41滲透全球航運、物流、媒體及娛樂產業

分享

支付動態

2024-07-19

本週Mandiant、Google威脅分析團隊(TAG)聯手,公佈中國駭客APT41新的攻擊行動,主要目標是航運、物流、新聞媒體、娛樂產業,值得留意的是,臺灣也有企業組織慘遭毒手

究竟這些駭客如何長時間於受害組織的網路環境持續活動?研究人員指出,對方在Apache Tomcat的管理伺服器當中,植入了AntSword、BlueBeam兩款Web Shell來達到目的。此外,駭客也利用這些Web Shell執行certutil.exe,下載名為DustPan的惡意程式載入工具,從而暗中執行名為Beacon的惡意酬載。

駭客利用DustPan將Beacon載入以chacha20演算法加密的記憶體區塊,一旦Beacon啟動,就會使用Cloudflare Workers做為C2通道,或是以Cloudflare代管的自我管理基礎設施進行通訊。

在APT41的入侵過程裡,他們也運用另一款惡意程式載入工具DustTrap,解密惡意酬載並於記憶體內執行,意圖留下最少的作案痕跡。而該惡意酬載接收駭客命令的方法,主要是透過APT41架設的C2基礎設施,但研究人員也發現利用外流的Google Workspace帳號的情況。

DustTrap則是具備多階段外掛程式的攻擊框架,並能搭配多種元件運作。該惡意軟體的外掛程式載入方式,是藉由木馬化的Windows資料夾DLL程式庫,並搭配大小足夠的.TEXT段落,來存放每個外掛程式的內容,並於記憶體內執行。

值得留意的是,這個遭竄改的檔案在進行內容關閉程式之前,透過.TEXT段落存放的原始檔案內容,就會還原存放到磁碟上,這麼做的目的,自然是為了迴避EDR系統的偵測。研究人員至少發現15種外掛程式,這些可被用於操作Shell、存取檔案、控管處理程式、網路偵察、收集系統資訊、竄改AD設定等工作。

此外,APT41還會濫用名為Sqluldr2的公用程式,從受害組織的Oracle資料庫輸出資料,然後運用名為PineGrove的惡意程式,透過有系統與高效率的方式,將竊得資料外傳至雲端檔案共用平臺OneDrive,以便進一步解讀、分析。

對於PineGrove的功能,研究人員指出是用Go語言打造的命令列上傳工具,並透過OneDrive的API上傳檔案,此惡意程式須搭配可用於身分驗證的JSON檔案,才能正常運作。

免責聲明:
詳情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu