針對鎖定日本企業組織的後門程式NoopDoor攻擊行動,資安業者Cybereason認為可能是中國駭客組織APT10所為,而且,攻擊行動中駭客同時還會運用另一支後門程式LodeInfo
上個月日本電腦緊急應變團隊暨協調中心(JPCERT/CC)揭露攻擊行動MirrorFace的最新態勢,當中提及駭客鎖定當地製造業、研究機構發動攻擊,企圖在這些企業組織植入後門程式NoopDoor,如今有資安業者公布與這支惡意程式有關的細節。
根據資安業者Cybereason的調查,中國駭客組織APT10使用LodeInfo與NoopDoor兩款惡意程式,鎖定日本企業組織發起名為Cuckoo Spear的攻擊行動,而能在受害組織的網路環境活動長達2至3年。他們提及這項攻擊行動與駭客組織Earth Kasha,以及另一起攻擊行動MirrorFace有所關連,因為這三個行動所用的武器有個共通點,那就是APT10慣用的惡意程式LodeInfo。
研究人員提到,駭客在使用NoopDoor的攻擊行動,同時運用後門程式LodeInfo,然後使用新的後門程式竊取受害組織資料。他們看到駭客的攻擊目標是日本的關鍵基礎設施及學術機構,推測駭客的目的是從事網路間諜活動。
僅管這群攻擊者會運用不同手段接觸目標,但最主要的方式還是使用網路釣魚,然而,這些駭客現在也開始調整策略,利用漏洞來入侵受害組織,而這樣的發現與JPCERT/CC公布資訊互相呼應。
接著,駭客會試圖在受害電腦上植入NoopDoor,這個後門程式採模組化設計,並透過網域名稱生成演算法(DGA)進行C2通訊。攻擊者利用名為NoopLdr的惡意程式載入工具將NoopDoor解密、執行。
為了維持NoopDoor持續在受害電腦運作,駭客根據不同情境,使用了3種方法來達到目的。
其中一種是透過工作排程執行公用程式MSBuild,載入惡意的XML檔案,從而在執行時編譯、啟動惡意程式載入工具。
另一種則是濫用WMI事件,攻擊者利用ActiveScript執行JavaScript引擎,觸發MSBuild執行NoopDoor的載入工具。
最後一種藉由設置惡意服務,載入未經簽章的DLL檔案來達到目的。
研究人員指出,駭客同時使用LodeInfo、NoopDoor兩支後門程式攻擊時,很有可能以LodeInfo為主,NoopDoor為輔,而這樣的做法讓駭客能長時間存取受害組織網路環境。
