APT41: KeyPlug对意大利工业的威胁

admin 2024年5月24日12:42:46评论10 views字数 1845阅读6分9秒阅读模式

APT41: KeyPlug对意大利工业的威胁

在一次广泛的调查中,Tinexta Cyber的Zlab Malware团队发现了一个名为KeyPlug的后门,该后门在几个月内攻击了多个意大利工业部门。这个后门被归属于APT41的武器库,该组织的起源与中国有关。APT41,又被称为Amoeba、BARIUM、BRONZE ATLAS、BRONZE EXPORT、Blackfly、Brass Typhoon、Earth Baku、G0044、G0096、Grayfly、HOODOO、LEAD、Red Kelpie、TA415、WICKED PANDA和WICKED SPIDER,起源于中国(可能与政府有联系),以其复杂的攻击活动和对多个行业的目标选择而闻名,其动机从敏感数据窃取到金融收益不一。

这个后门已经被开发成能够同时攻击Windows和Linux操作系统,并且使用不同的通信协议,这些协议依赖于恶意软件样本自身的配置。Tinexta Cyber团队分析了Windows和Linux的两个变种,显示出共同的特征,使得这种威胁能够在受攻击的系统内保持弹性。尽管如此,在每个终端都使用了防火墙、网络入侵检测系统(NIDS)和终端检测与响应(EDR)等外围防御措施。

第一个恶意软件样本是一种针对Microsoft Windows操作系统的植入式攻击。感染不直接来自植入物本身,而是来自另一个组件,作为用.NET框架编写的加载器。这个加载器被设计用于解密另一个模拟图标类型文件的文件。解密操作通过AES(一种著名的对称加密算法)进行,密钥直接存储在样本本身中。一旦所有解密操作完成,就可以分析新的载荷,其SHA256哈希为399bf858d435e26b1487fe5554ff10d85191d81c7ac004d4d9e268c9e042f7bf。

进一步深入分析该恶意软件样本,可以发现它与Mandiant的报告“Does This Look Infected? A Summary of APT41 Targeting U.S. State Governments”中的恶意软件结构有直接对应。在这种特定情况下,XOR密钥为0x59。

然而,Keyplug恶意软件的Linux版本稍微更复杂,似乎使用了VMProtect。在静态分析期间,检测到了许多与UPX打包工具相关的字符串,但自动解压缩例程未能工作。这个变种被设计成在执行期间解码载荷代码,一旦完成,使用系统调用fork重新启动。这种方法中断了分析人员的控制流,使得恶意软件分析更加困难。

在网络安全界中,有可能出现了APT41组织与中国公司爱数(I-Soon)之间的潜在联系。2月16日,中国公安部大量敏感数据泄露,并在GitHub和Twitter上传播,引起了网络安全界的极大关注。此外,根据爱数泄露,Hector可能是APT41武器库中的一种远程管理工具(RAT),如果不是KeyPlug本身。根据泄露信息,Hector可以在Windows和Linux上使用,并使用WSS协议。WSS(WebSocket Secure)是一种网络协议,用于在客户端和服务器之间建立安全的WebSocket连接。它是WS(WebSocket)协议的加密版本,并依赖于TLS(传输层安全性)来提供安全性,类似于HTTPS是HTTP的安全版本。然而,这种类型的协议在恶意软件威胁中并不被广泛采用,因此,将这种威胁归因于这种类型的协议可能性很小。

APT41组织与爱数数据泄露事件之间的联系可能是一种假设。所使用的高级技术和针对的广泛行业范围与APT41的典型作业模式相吻合,这表明可能存在与这次网络间谍活动的连接。深入调查爱数数据泄露,特别是有关所采用工具和方法的调查,可能会进一步揭示APT41或类似组织的参与情况。

"Tinexta Cyber的技术负责人路易吉·马蒂雷(Luigi Martire)告诉《安全事务》:“APT41一直以其复杂性和进行全球网络间谍行动的能力而著称。它使用并继续使用的工具之一是KEYPLUG,这是一种模块化的后门,能够逃避主要的检测系统,给攻击者提供了在受损系统内保持沉默数月的能力。”由于APT41等组织进行的产业间谍活动所带来的风险是巨大的。他们的操作可能旨在窃取知识产权、商业机密和可能带来非法竞争优势的敏感信息。在技术先进或战略性行业运营的公司特别容易受到攻击,这种攻击的后果可能包括巨大的经济损失、声誉受损和国家安全受损。"

原文始发于微信公众号(黑猫安全):APT41: KeyPlug对意大利工业的威胁

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月24日12:42:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   APT41: KeyPlug对意大利工业的威胁http://cn-sec.com/archives/2773490.html

发表评论

匿名网友 填写信息