杜克APT组织最新武器:跨平台恶意软件与云服务滥用

杜克APT组织近期推出SeaDuke和CloudDuke两款新型恶意工具,首次支持Linux平台并深度利用微软OneDrive云服务进行数据窃取,通过多层混淆和跨平台特性增强隐蔽性,展现其持续进化的攻击能力。

杜克APT组织最新工具:云服务与Linux支持

发布于阿图尔蒂 @ 11:59 GMT

最近几周,杜克组织工具集中新增了两款工具:SeaDuke和CloudDuke。其中SeaDuke是一个简单的木马,其独特之处在于采用Python编写。更值得注意的是,SeaDuke内置对Windows和Linux系统的支持,是我们首次观察到杜克组织使用的跨平台恶意软件。

跨平台SeaDuke恶意软件新增Linux支持

上周,赛门铁克和Palo Alto Networks都发布了关于SeaDuke的研究报告。与杜克组织以往使用C/C++和汇编语言编写的恶意软件不同,SeaDuke特别采用Python编写并包含多层混淆。该Python代码通常使用py2exe或pyinstaller编译成Windows可执行文件,但其代码本身设计为可在Windows和Linux系统上运行。

CloudDuke恶意软件工具集的新解决方案

上周,我们还看到Palo Alto Networks和卡巴斯基实验室分别发布了关于他们称为MiniDionis和CloudLook的恶意软件组件研究。这些组件都属于我们称为CloudDuke的更大恶意软件工具集。

该工具集包含提供不同功能的恶意软件组件,部分依赖共享代码框架并始终使用相同的加载器。根据样本中发现的PDB字符串,恶意软件作者将CloudDuke组件称为"解决方案",包括:

  • C:\DropperSolution\Droppers\Projects\Drop_v2\Release\Drop_v2.pdb
  • c:\BastionSolution\Shells\Projects\miniDionis4\miniDionis\obj\Release\miniDionis.pdb
  • c:\OneDriveSolution\Shells\Projects\OneDrive2\OneDrive\obj\x64\Release\OneDrive.pdb

CloudDuke鱼叉式网络钓鱼活动与CozyDuke的相似性

CloudDuke最近通过鱼叉式网络钓鱼邮件传播,目标包括美国国防部等组织。这些邮件包含指向托管压缩档案的受感染网站的链接,其中包含CloudDuke可执行文件。

有趣的是,今年7月观察到的某些CloudDuke鱼叉式网络钓鱼活动与2014年7月初的CozyDuke活动惊人相似。在两个活动中都使用了相同的PDF诱饵文件——“US letter fax test page”。

增加使用云服务以规避检测

CloudDuke并非我们首次观察到杜克组织使用云服务。通过完全依赖第三方网络服务(如OneDrive)作为命令控制通道,杜克组织试图更好地规避检测。

将有限资源用于规避检测

开发单个多功能恶意软件工具集需要时间和资源。杜克组织通过用多种编程语言重写相同代码,进一步推进了这一做法。这样既节省了时间资源,又确保了两个工具集内部相似但外部完全不同。

F-Secure将CloudDuke检测为: Trojan:W32/CloudDuke.B 和 Trojan:W64/CloudDuke.B

样本哈希: 04299c0b549d4a46154e0a754dda2bc9e43dff762f53bfcd2016d506674d0a05 132bf16fa96a5f618cb44f87446e3b024800d67ea326e6d037198abd3d95f4ed

用于命令控制的受感染服务器: hxxps://cognimuse.cs.ntua.gr/search.php hxxps://portal.sbn.co.th/rss.php

用于托管CloudDuke的受感染网站: hxxp://flockfilmseries.com/eFax/incoming/5442.ZIP hxxp://www.recordsmanagementservices.com/eFax/incoming/150721/5442.ZIP

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次