APT41: KeyPlug对意大利工业的威胁

在一次广泛的调查中，Tinexta Cyber的Zlab Malware团队发现了一个名为KeyPlug的后门，该后门在几个月内攻击了多个意大利工业部门。这个后门被归属于APT41的武器库，该组织的起源与中国有关。APT41，又被称为Amoeba、BARIUM、BRONZE ATLAS、BRONZE EXPORT、Blackfly、Brass Typhoon、Earth Baku、G0044、G0096、Grayfly、HOODOO、LEAD、Red Kelpie、TA415、WICKED PANDA和WICKED SPIDER，起源于中国（可能与政府有联系），以其复杂的攻击活动和对多个行业的目标选择而闻名，其动机从敏感数据窃取到金融收益不一。

这个后门已经被开发成能够同时攻击Windows和Linux操作系统，并且使用不同的通信协议，这些协议依赖于恶意软件样本自身的配置。Tinexta Cyber团队分析了Windows和Linux的两个变种，显示出共同的特征，使得这种威胁能够在受攻击的系统内保持弹性。尽管如此，在每个终端都使用了防火墙、网络入侵检测系统（NIDS）和终端检测与响应（EDR）等外围防御措施。

第一个恶意软件样本是一种针对Microsoft Windows操作系统的植入式攻击。感染不直接来自植入物本身，而是来自另一个组件，作为用.NET框架编写的加载器。这个加载器被设计用于解密另一个模拟图标类型文件的文件。解密操作通过AES（一种著名的对称加密算法）进行，密钥直接存储在样本本身中。一旦所有解密操作完成，就可以分析新的载荷，其SHA256哈希为399bf858d435e26b1487fe5554ff10d85191d81c7ac004d4d9e268c9e042f7bf。

进一步深入分析该恶意软件样本，可以发现它与Mandiant的报告“Does This Look Infected? A Summary of APT41 Targeting U.S. State Governments”中的恶意软件结构有直接对应。在这种特定情况下，XOR密钥为0x59。

然而，Keyplug恶意软件的Linux版本稍微更复杂，似乎使用了VMProtect。在静态分析期间，检测到了许多与UPX打包工具相关的字符串，但自动解压缩例程未能工作。这个变种被设计成在执行期间解码载荷代码，一旦完成，使用系统调用fork重新启动。这种方法中断了分析人员的控制流，使得恶意软件分析更加困难。

在网络安全界中，有可能出现了APT41组织与中国公司爱数（I-Soon）之间的潜在联系。2月16日，中国公安部大量敏感数据泄露，并在GitHub和Twitter上传播，引起了网络安全界的极大关注。此外，根据爱数泄露，Hector可能是APT41武器库中的一种远程管理工具（RAT），如果不是KeyPlug本身。根据泄露信息，Hector可以在Windows和Linux上使用，并使用WSS协议。WSS（WebSocket Secure）是一种网络协议，用于在客户端和服务器之间建立安全的WebSocket连接。它是WS（WebSocket）协议的加密版本，并依赖于TLS（传输层安全性）来提供安全性，类似于HTTPS是HTTP的安全版本。然而，这种类型的协议在恶意软件威胁中并不被广泛采用，因此，将这种威胁归因于这种类型的协议可能性很小。

APT41组织与爱数数据泄露事件之间的联系可能是一种假设。所使用的高级技术和针对的广泛行业范围与APT41的典型作业模式相吻合，这表明可能存在与这次网络间谍活动的连接。深入调查爱数数据泄露，特别是有关所采用工具和方法的调查，可能会进一步揭示APT41或类似组织的参与情况。

"Tinexta Cyber的技术负责人路易吉·马蒂雷（Luigi Martire）告诉《安全事务》：“APT41一直以其复杂性和进行全球网络间谍行动的能力而著称。它使用并继续使用的工具之一是KEYPLUG，这是一种模块化的后门，能够逃避主要的检测系统，给攻击者提供了在受损系统内保持沉默数月的能力。”由于APT41等组织进行的产业间谍活动所带来的风险是巨大的。他们的操作可能旨在窃取知识产权、商业机密和可能带来非法竞争优势的敏感信息。在技术先进或战略性行业运营的公司特别容易受到攻击，这种攻击的后果可能包括巨大的经济损失、声誉受损和国家安全受损。"

原文始发于微信公众号（黑猫安全）：APT41: KeyPlug对意大利工业的威胁