赛门铁克揭露锁定东南亚关键基础设施下手的攻击行动

中国骇客锁定东南亚发动攻击的现象，近期有资安业者公布他们的发现，有多组骇客自2017年开始，锁定大型电信业者发动攻击，且滥用了微软Exchange重大漏洞“Proxylogon”。但有不同的调查报告指出，有其他的中国骇客不只是攻击电信业者，还对于多个类型的关键基础设施（CI）下手。

赛门铁克揭露由中国骇客发起的攻击行动，攻击延续数个月之久，至少自2020年11月持续到2021年3月，对象包含了水资源公司、电力公司、电信公司，以及国防组织等。

而对于攻击者的身份，该公司根据他们的调查结果，研判攻击者来自中国，但无法确定是那个骇客组织所为。

就地取材滥用合法工具

为何会认定这些针对不同类型关键基础设施的攻击，是同一组骇客所为？原因与赛门铁克找到的证据存在了数个共通点，例如，他们在攻击目标的地理位置找到关连，且在不同组织的电脑上出现相同的工具－－其中2个组织出现了下载器，而键盘侧录器存在于3个组织里，再者，则是针对其中2个组织的攻击行动里，研究人员发现了相同的IP地址。

究竟攻击者的目的为何？赛门铁克认为，主要是窃取帐密，以及进行横向移动。为了达到目的，攻击者广泛在受害电脑就地取材（Living Off-the-Land，LOL），运用多项电脑里现成、合法的工具，诸如Windows Management Instrumentation（WMI）、ProcDump、PsExec、PsExec，以及Mimikatz等。

研究人员提到，在执行恶意工具的过程里，他们也发现攻击者滥用合法的影音播放器PotPlayer Mini，来侧载DLL，并用另一款合法的工具载入恶意档案，而且这个影音播放器的踪迹，在所有的受害单位都有出现。

从攻击者所运用的合法工具来看，有些是Windows操作系统内建的工具，也有系统监控软件，而Mimikatz则是骇客常用于窃取密码的工具。相较之下，PotPlayer Mini是偏向个人用户的应用程序，且并非操作系统内建的软件，若是维护关键基础设施的管理者采用白名单机制，骇客很有可能就因为无法执行PotPlayer Mini，而使得攻击行动受到阻碍。由此可见，攻击者对于这些目标的内部环境应该是相当了解。

疑似锁定设计SCADA系统的资料

在针对上述提及的水资源公司、电力公司、电信公司，以及国防单位等，具体而言，攻击者究竟如何运用合法工具来发动攻击？以锁定水资源公司的事故为例，赛门铁克指出，攻击者先是滥用WMI，接着运用了PotPlayer Mini来载入恶意DLL档案。

再来，攻击者了执行ProcDump、PsExec，以及Mimikatz。而他们运用这些工具的目的为何？其中，攻击者用ProcDump来存取LSASS.EXE处理程序，目的是窃取凭证，并下达net view指令，来列举网域用户，接下来受害电脑启动了可疑的加密连线。

在攻击过程里，赛门铁克发现攻击者并未窃取资料，但为何要入侵水资源公司的电脑？赛门铁克表示，这些受害电脑所存放的资料，很可能与设计SCADA系统有关，而成为攻击者的目标。

而在针对电力公司的攻击行动中，攻击者也运用类似于水资源公司的手法。赛门铁克指出，有迹象显示该电力公司的受害电脑，所存放了工程设计的资料。从攻击者想要寻找的资料及攻击策略，赛门铁克认为，这两起事故是相同的骇客所为。

在电信公司出现新的合法工具

在上述的水资源公司与电力公司事故里，攻击者运用了相似的攻击手法。但在针对电信公司的攻击行动中，骇客滥用了上述2起事故没有出现过的合法工具：Google Chrome内嵌框架（Google Chrome Frame）、PAExec。

什么是Google Chrome内嵌框架？这是Google自2009年推出的浏览器插件（现已终止支援），适用于Internet Explorer（IE），能让该浏览器的使用者，利用Chrome浏览器引擎来载入网页。而攻击者使用它的目的，则是用来载入恶意档案。

但这款IE插件的来源为何？赛门铁克表示并不确定，有可能是这家公司的受害电脑本来就有，但也可能是攻击者自行带来的工具。

除了Google Chrome内嵌框架，攻击者也使用了开源的PAExec工具，并透过Windows排程工具at.exe执行。

在攻击的过程中，骇客也运用了WMI，不只用于窃取凭证，亦让Google Chrome内嵌框架能排程执行，借此横向移动找寻目标，并执行net.exe来存取网络上隐藏的C$共享资料夹等攻击行动。一般而言，这种型态的手法，很有可能被攻击者用于收集网络里窃得的资料。

但在这些只有出现于电信公司的攻击手法之外，赛门铁克也发现与前述事故的共通之处。例如，他们从这家受害的电信公司里，发现一个键盘侧录程式与数个档案，而这些档案也在前述的水资源公司网络出现。

再者，在受害的国防单位中，攻击者也滥用了PotPlayer Mini。赛门铁克表示，该单位受害电脑的档案，与上述的水资源公司和电信公司有所交集。

从本次攻击行动的过程里，骇客就地取材所运用的合法工具，涵盖的类型可说是相当广。这样的情况也突显出，网管人员在管制应用程序上所面临的难题。