究竟這些駭客如何長時間於受害組織的網路環境持續活動?研究人員指出,對方在Apache Tomcat的管理伺服器當中,植入了AntSword、BlueBeam兩款Web Shell來達到目的。此外,駭客也利用這些Web Shell執行certutil.exe,下載名為DustPan的惡意程式載入工具,從而暗中執行名為Beacon的惡意酬載。
駭客利用DustPan將Beacon載入以chacha20演算法加密的記憶體區塊,一旦Beacon啟動,就會使用Cloudflare Workers做為C2通道,或是以Cloudflare代管的自我管理基礎設施進行通訊。
在APT41的入侵過程裡,他們也運用另一款惡意程式載入工具DustTrap,解密惡意酬載並於記憶體內執行,意圖留下最少的作案痕跡。而該惡意酬載接收駭客命令的方法,主要是透過APT41架設的C2基礎設施,但研究人員也發現利用外流的Google Workspace帳號的情況。
DustTrap則是具備多階段外掛程式的攻擊框架,並能搭配多種元件運作。該惡意軟體的外掛程式載入方式,是藉由木馬化的Windows資料夾DLL程式庫,並搭配大小足夠的.TEXT段落,來存放每個外掛程式的內容,並於記憶體內執行。
值得留意的是,這個遭竄改的檔案在進行內容關閉程式之前,透過.TEXT段落存放的原始檔案內容,就會還原存放到磁碟上,這麼做的目的,自然是為了迴避EDR系統的偵測。研究人員至少發現15種外掛程式,這些可被用於操作Shell、存取檔案、控管處理程式、網路偵察、收集系統資訊、竄改AD設定等工作。

此外,APT41還會濫用名為Sqluldr2的公用程式,從受害組織的Oracle資料庫輸出資料,然後運用名為PineGrove的惡意程式,透過有系統與高效率的方式,將竊得資料外傳至雲端檔案共用平臺OneDrive,以便進一步解讀、分析。
對於PineGrove的功能,研究人員指出是用Go語言打造的命令列上傳工具,並透過OneDrive的API上傳檔案,此惡意程式須搭配可用於身分驗證的JSON檔案,才能正常運作。




2024-07-19
