IT業界社群及資訊平台

【潛行諜戰】隱密9年首曝光 APT攻擊三招避偵測

APT (Advanced Persistent Threat, 先進持續威脅) 是專門形容以情報收集為目標、受國家資助的黑客團隊所發動的攻擊。這些攻擊以隱密性優先,主力入侵其他國家的政府機構或企業,並不會長期存在於受感染的電腦設備內,而且運作時間有限,以減少被網絡安全工具發現的機會。而網絡安全公司 ESET 今次調查的 APT 團隊 XDSpy ,其隱密手段可謂非常高超,不單在首次曝光後瞬即再度消失,在專家追查下,才發現這團隊已運作了整整 9 年!雖然專攻白羅斯、俄羅斯、烏克蘭等國家,但專家也未能斷言其他地區國家未曾受過攻擊,只是沒有留下網絡線索。

XDSpy 的行蹤首次曝光,源於白羅斯 CERT 網絡安全事故協調組織發出的警報。 ESET 專家跟進調查後,顯示 XDSpy 集團使用的入侵工具 XDDown 雖然不似其他 APT 先進及精密,但已足以暗中從目標身上盜取機密資料。為了瞞過網絡安全工具的偵測, XDDown 惡意軟件有三招避過安全偵測,首先它本身並無具備令人懷疑的功能,它只是一個「下載器」,一旦有電腦設備受到感染,它便會視乎情況,從 C&C 中心下載不同功能的模組,包括可掃描電腦設備規格及配置的 XDREcon 、搜尋特定文件檔案的 XDList 、監測相連裝置的 XDMonitor 、自動盜取本機儲存密碼的 XDPass 、擷取附近Wi-Fi網絡資訊的 XDLoc ,以及可將機密檔案匯出的 XDUpload 。其次是為了縮短 XDDown 的「生存」時間,減少其網絡活動被捕捉,上述模組會於電腦設備關閉前自動刪除,待重啟時再從 C&C 中心下載,最後它更可設定時間掣,在一段日子後不再運作。正因為有以上特性, ESET 專家指出 XDSpy 才能在 9 年時間內暗中活動。

不過, XDSpy 要入侵電腦設備,始終要找出感染方法。專家說由於 APT 團隊有特定攻擊對象,所以使用魚叉式釣魚攻擊 (spear-phishing) ,看準目標才出手。至於電郵的主題與一般釣魚攻擊無異,主要以失物待領、 COVID-19 等主題引誘目標人物打開電郵內的附件,達成入侵目標。要防範這類沒有標記 (signature) 的攻擊,企業必須從員工培訓開始,提升他們的網絡安全意識及分辨釣魚電郵的經驗,才能提高他們的警覺,不會胡亂點擊連結或開啟附件。

資料來源:https://zd.net/33vXZDR

Privacy Preference Center