本文擷取自資安人
賽門鐵克(Symantec)研究人員近期發現,一個與中國有關的進階持續性威脅(APT)組織「Emperor Dragonfly(帝王蜻蜓)」(又稱 Bronze Starlight)首次轉向勒索軟體攻擊,並向一家亞洲軟體服務公司索取 200 萬美元贖金,此舉標誌著中國國家級駭客組織與網路犯罪活動之間出現新的連結。
特殊的攻擊工具組合
根據賽門鐵克的報告,這起發生於 2024 年底的攻擊使用了一組特殊的工具,這些工具此前僅與中國間諜活動有關,特別是與 Mustang Panda 組織相關。攻擊者使用了東芝的合法執行檔 toshdpdb.exe 作為側載工具,連接惡意的動態連結函式庫(DLL)toshdpapi.dll,最終部署包含 PlugX 後門的惡意程式。研究人員指出,這套工具組並非公開可得,且過去從未與一般網路犯罪活動有關。雖然中國駭客組織經常共享工具,但這些工具通常僅用於間諜活動。
攻擊者首先透過利用 Palo Alto PAN-OS 防火牆軟體的漏洞(CVE-2024-0012)入侵受害者網路。一旦成功入侵,攻擊者開始部署其特製的後門工具組。這個過程始於執行一個看似無害的東芝系統程式 toshdpdb.exe,該程式隨後會載入一個惡意的動態連結函式庫 toshdpapi.dll。這個 DLL 檔案作為載入器,會進一步解密並執行儲存在 TosHdp.dat 檔案中的主要惡意負載。
經過分析,這個惡意負載被確認為 PlugX 後門的變種,具有加密字串、動態 API 解析和控制流程平坦化等特徵。通過這個後門,攻擊者得以在受害者網路中建立持久性存在。
在取得立足點後,攻擊者開始橫向移動,從公司內部網路獲取管理憑證。接著利用這些憑證存取公司的 Veeam 備份伺服器,從中竊取了 Amazon S3 雲端存取憑證。攻擊者利用這些雲端憑證,得以竊取儲存在 S3 儲存桶中的敏感資料。
在完成資料竊取後,攻擊者部署了 RA World 勒索軟體,開始加密受害者的電腦系統。這個階段的攻擊還包括使用名為 NPS 的代理工具,這是一個與 Bronze Starlight 組織過往活動相關的工具。整個攻擊過程顯示出攻擊者具備高度的技術能力,能夠結合傳統的 APT 戰術與勒索軟體攻擊手法。
與過往間諜活動的關聯
賽門鐵克研究人員發現,使用相同工具組的入侵活動在 2024 年 7 月至 2025 年 1 月期間也曾針對多個政府與企業目標。這些目標包括一個東南歐國家的外交部、另一個國家的政府機構,以及多個東南亞地區的政府部門和電信營運商。然而,這些先前的攻擊都是以間諜活動為目的,並未涉及勒索軟體。相關文章:Sophos揭露《紅宮行動》報告:中國國家支持的駭客組織鎖定東南亞政府機構
研究人員認為,這次勒索軟體攻擊最可能是 APT 組織成員利用其工作工具進行個人牟利。這個推論主要基於受害者的選擇與攻擊者的行為模式。首先,此次受害者並非具有戰略意義的組織,與過往間諜活動目標有明顯差異。其次,攻擊者確實投入時間與受害者溝通討論贖金事宜,這種行為模式與單純用於掩蓋間諜活動的障眼法不符。此外,攻擊者使用了名為 NPS 的代理工具,這與 Bronze Starlight 組織過去部署的不同勒索軟體有關,進一步證實了這一推測。