国外安全公司披露新型后门木马,称出自中国黑客组织Ke3chang之手

近日,总部位于斯洛伐克的世界知名电脑安全软件公司ESET声称发现了一种此前从未被公开披露过的后门木马——Okrum,并认为它出自于黑客组织Ke3chang之手。

Ke3chang,也被称为APT15,是一个被指来自中国的黑客组织。据称,Ke3chang的活动最早可以追溯到2010年。美国网络安全公司FireEye曾在2013年发布的一份分析报告中指出,Ke3chang在2010年针对欧洲外交组织实施了网络间谍活动。

ESET在上周发布的一份报告中指出,该公司一直在追踪与Ke3chang有关的恶意攻击活动,并在2016年发现了一种与Ke3chang存在很强关联的后门木马,即Okrum。

根据ESET的说法,他们是在2016年12月发现了Okrum,并在2017年发现它被用在了针对斯洛伐克、比利时、智利、危地马拉和巴西等国外交组织的网络间谍活动中。

此外,ESET表示,他们在2015年到2019年期间还发现了多种与Ke3chang存在关联的恶意软件,这其中就包括了BS2005后门木马(在2013年被FireEye公开披露)和RoyalDNS后门木马(在2018年被NCC group在公开披露)。

在2015年到2019年期间被检测到的恶意软件

2015年:Ketrican

2015年,在针对欧洲国家(主要包括斯洛伐克、克罗地亚、捷克等)的恶意攻击活动中,ESET发现了Ketrican后门木马。

技术分析显示,它与BS2005以及网络安全公司Palo Alto Networks于2016年在一场针对印度大使馆的恶意攻击活动中发现的TidePool恶意软件家族存在很强的关联。

2016-2017年:Okrum

2016年12月,ESET发现了一种全新的、此前从未被公开披露过的后门木马,并将其命名为“Okrum”。

Okrum在当时被来攻击了位于斯洛伐克境内的目标,而这些目标与Ketrican在2015年的攻击目标完全相同。

2017年:Ketrican和RoyalDNS

在2017年,Ketrican出现了一个新版本,并通过Okrum下载到受感染设备上。于是,Okrum与Ketrican之间的关联更加明确。

同一年,RoyalDNS的一个新版本开始被用来攻击此前已感染了Okrum的目标设备。

2018年:Ketrican

2018年,ESET发现了Ketrican的另一个新版本,主要涉及到代码的优化。

2019年:Ketrican

2019年,Ke3chang继续活跃。在2019年3月,ESET再次发现了Ketrican的一个新版本,它是从2018年的Ketrican进化而来的。

各种恶意软件与Ke3chang的关联

ESET的研究表明,在2015年以后检测到的Ketrican、Okrum和RoyalDNS后门与之前记录的Ke3chang活动存在关联,理由如下:

  • 2015年、2017年、2018年和2019年出现的Ketrican都是从Ke3chang活动中使用的恶意软件演变而来的;
  • ESET在2017年检测到的RoyalDNS与之前被公开披露的RoyalDNS类似;
  • Okrum与Ketrican的关联十分明确,因为Okrum曾在2017年被用于下载Ketrican;
  • Okrum、Ketrican和RoyalDNS的攻击目标都是同一类型的组织,被Okrum感染的一些组织也感染了Ketrican和RoyalDNS;
  • Okrum的运行方式与之前记录的Ke3chang相似——配备了一组基本的后门命令,并且依靠手动输入shell命令和执行外部工具来完成大部分恶意活动。

Okrum后门木马分析

如上所述,Okrum曾被用来攻击斯洛伐克、比利时、智利、危地马拉和巴西等国的外交组织,攻击者尤其对斯洛伐克感兴趣。

通过注册看似合法的域名,攻击者试图将其命令和控制(C&C服务器)的恶意流量隐藏在合法的网络流量中。例如,被用于感染斯洛伐克目标的Okrum就使用了模仿斯洛伐克地图门户的域名(support.slovakmaps[.]com)来进行通信。

Okrum是一个动态链接库(DLL),由两个事前被安插在受感染设备上的组件安装和加载。每隔几个月,攻击者就会更换这两个组件,以避免被检测出来。

Okrum的有效载荷隐藏在一个PNG文件中。打开这个文件,用户只会看到一个正常的图像,但Okrum能够定位用户看不到的额外加密文件。这就是所谓的“隐写术”,能够确保恶意软件不被注意以及逃避杀毒软件的检测。

在功能上,Okrum只配备了基本的后门命令,例如下载和上传文件、以及执行文件和shell命令。此外,大多数恶意操作都必须通过手动输入shell命令或借助其他工具和软件来执行,而这正是Ke3chang组织惯用的技术手段。