[[392438]]

研究人員表示，在越南發現了一個針對政府和軍事機構進行攻擊的高級網絡間諜攻擊活動，該攻擊活動中使用了一個專門用于實施間諜攻擊的遠程訪問工具(RAT)。

卡巴斯基研究人員稱，對其進一步的分析表明，這次活動是由一個被稱為Cycldek(又名Goblin Panda，APT 27和Conimes)的高級持續性威脅(APT)組織進行的，他們補充說，該組織自2013年以來就一直很活躍。

此次攻擊活動中使用的惡意軟件被稱為FoundCore，它會允許攻擊者進行文件系統控制、進程操縱、捕獲截圖和執行任意命令等操作。

根據卡巴斯基在周一發布的分析報告，這代表了該組織在攻擊的復雜性方面有了重大的進步。研究人員表示，防止惡意代碼被殺毒軟件進行分析的技術對于該攻擊集團來說是首次使用的。

他們解釋說："有效載荷的頭部(用以攻擊的代碼)被完全分開，僅包含幾個不連貫的函數，通過這樣做，攻擊者使得研究人員對于惡意軟件進行逆向工程分析的難度大大增加。更重要的是，感染鏈的組件是緊密耦合的，這意味著單個部件有時很難甚至不可能單獨進行分析，這樣從而防止了惡意活動被分析。"

此次攻擊活動還使用了動態鏈接庫(DLL)的側載技術，當一個有合法簽名的文件被加載注入了一個惡意的DLL時，就會發生這種情況，這樣可以使得攻擊者能夠繞過安全產品的防護。

根據分析稱："在這個最近被發現的攻擊活動中，DLL側載感染鏈會解密一個有效載荷的shellcode—FoundCore，它可以使得攻擊者能夠完全控制被感染的設備。"

FoundCore的4個惡意軟件線程

感染鏈中的最后一個有效載荷是一個遠程管理工具，它可以使操作者對受害者的機器實現完全的控制。研究人員稱，在這個工具被執行后，惡意軟件會啟動四個線程。

第一個線程會通過創建服務來實現對機器的持久性控制。

第二個通過改變服務的Description、ImagePath和DisplayName等字段，隱藏服務的相關信息。

第三種是為與當前進程相關聯的圖像設置一個空的訪問控制列表(DACL)，防止對底層惡意文件的訪問。DACL是安裝在Active Directory對象上的一個內部列表，它指定了哪些用戶和組可以訪問該對象，以及他們可以對該對象執行何種操作。

最后一個線程引導程序執行并與C2服務器建立連接。根據它的配置，它也可以將自己的副本注入到另一個進程中。與服務器的通信可以使用HTTPS或者對原始的TCP套接字進行RC4加密。

在感染鏈中，研究人員發現FoundCore還下載了兩個其他的間諜軟件。第一個是DropPhone，用于收集受害者機器的環境信息并將其發送到DropBox。第二個是CoreLoader，幫助惡意軟件逃避安全產品的檢測。

卡巴斯基的高級安全研究員Mark Lechtik在分析中說："總的來說，在過去的一年里，我們注意到，許多黑客團體為他們的攻擊活動都投入了很多的資源，也提高了他們的技術能力。在這里，他們增加了更多的混淆技術以及更為復雜的反逆向工程技術。而這也預示著，這些組織可能正在計劃擴大他們的攻擊范圍。"

越南成為APT攻擊的目標

卡巴斯基的分析顯示，此次活動中有數十臺電腦成為了攻擊目標，其中絕大多數(80%)位于越南。其他目標則是在中亞和泰國。

該公司還發現，大多數被攻擊的機器屬于政府或軍事部門。同時，還有包括外交、教育或醫療保健在內的部門，也成了被攻擊的目標。

Lechtik說："現在看來，這次攻擊活動似乎更多的是對越南本地造成了威脅，但未來極有可能會在更多國家更多的地區發現FoundCore后門"

卡巴斯基高級安全研究員Pierre Delcher補充道："更重要的是，這些黑客組織往往會相互分享他們的攻擊策略，如果在其他活動中也發現了同樣的混淆策略，我們也不會感到驚訝。我們將會密切監控威脅環境，尋找類似的可疑攻擊活動。對于公司來說，他們能做的事情就是讓自己的公司隨時掌握最新的威脅情報，這樣他們就知道該注意什么了。"

本文翻譯自：https://threatpost.com/spy-operations-vietnam-rat/165243/如若轉載，請注明原文地址。