Earth Alux的间谍工具包:深入解析其高级技术
关键要点
趋势科技研究团队通过持续监控和调查工作,揭露了Earth Alux组织的隐秘活动和高级技术。该高级持续性威胁(APT)组织的主要工具是其核心后门VARGEIT。
如果未被检测到,该攻击可以在系统中保持立足点并进行网络间谍活动。长期的数据收集和外泄可能导致深远后果,如运营中断和财务损失。
攻击主要针对亚太(APAC)和拉丁美洲地区,涉及关键行业包括政府、技术、物流、制造、电信、IT服务和零售。
定期修补和更新系统、警惕监控任何入侵迹象以及采取主动防护措施,可以帮助防止此类威胁渗透到组织系统中。
Earth Alux攻击概述
Earth Alux APT组织的策略和战术通过我们不懈的监控和调查工作被揭露。这个与中国相关的入侵集正在积极对政府、技术、物流、制造、电信、IT服务和零售行业发动网络间谍攻击。
其活动首次发现于2023年第二季度,当时主要出现在亚太地区。到2024年中期,该组织也在拉丁美洲被发现。
Earth Alux还被观察到定期测试其部分工具集,以确保在目标环境中的隐蔽性和持久性。
初始访问
Earth Alux主要利用暴露服务器中的漏洞服务来获得初始访问权限,然后植入GODZILLA等web shell以方便传递其后门程序。
主要工具
该组织主要使用VARGEIT作为其主要后门和控制工具,以及COBEACON。VARGEIT被用作第一、第二和/或后续阶段的后门,而COBEACON被用作第一阶段后门。
VARGEIT的加载方式有所不同:第一阶段通过使用cdb.exe的调试器脚本加载,而后续阶段使用DLL侧加载,这可能包括通过RAILLOAD(加载器组件)和RAILSETTER(安装和时间戳篡改工具)实现的执行防护栏和时间戳篡改技术。
VARGEIT也是Earth Alux操作各种补充工具的主要方法,例如以无文件方式进行横向移动和网络发现。
Earth Alux TTPs
Earth Alux采用各种先进的战术、技术和程序(TTPs)来实施其计划。以下是攻击每个阶段的详细视图:
初始访问
Earth Alux主要利用暴露服务器中的漏洞服务来获得初始访问权限,并植入GODZILLA等web shell以允许传递其第一阶段后门。
执行、持久化和防御规避
通过植入的web shell获得控制后,Earth Alux通过不同的加载方法安装第一阶段后门(COBEACON或VARGEIT)。
COBEACON
COBEACON是许多威胁行为者流行的工具,也是Earth Alux使用的工具之一。它主要用作第一阶段后门,并作为DLL侧加载MASQLOADER的加密有效负载加载,或使用RSBINJECT作为shellcode加载。
COBEACON加载器 - MASQLOADER
第一个观察到的执行COBEACON有效负载的加载方法是通过MASQLOADER,一个DLL侧加载加载器。该加载器组件使用替换密码解密其有效负载,其中加密有效负载包含1-3个字符字符串,这些字符串具有基于MASQLOADER替换表的十六进制值等效值。
后来的MASQLOADER版本还添加了反API钩子技术。它通过用直接从文件中获取的ntdll.dll代码段覆盖其内存空间中的ntdll.dll代码段来实现这一点,有效地用原始代码覆盖监控工具和安全工具插入的任何API钩子。
COBEACON加载器 - RSBINJECT
Earth Alux用于加载COBEACON的另一个工具是RSBINJECT,一个基于Rust的命令行shellcode加载器。
它没有解密例程,直接加载shellcode。相反,它具有其他功能,帮助使用可选标志和子命令测试shellcode。
第一阶段VARGEIT执行 - CDB
第一阶段VARGEIT通过使用调试器脚本的shellcode注入执行。该方法使用cdb.exe(当由web shell投放时重命名为fontdrvhost.exe)作为调试器和主机,基于LOLBAS方法运行脚本。
调试器脚本config.ini包含加载器shellcode和VARGEIT的代码。这产生以下命令行:
|
|
第二阶段VARGEIT执行 - DLL侧加载
第二阶段VARGEIT通过涉及RAILLOAD加载器工具的DLL侧加载执行。该方法通常用于第二或后续阶段安装,并可以通过所述工具实现执行防护栏,以及通过RAILLOATER实现规避措施。
RAILLOAD作为第二阶段VARGEIT加载器
RAILLOAD是一个通过DLL侧加载执行的加载器工具,用于第二阶段加载。
该工具带有自己的配置,并且已被看到具有来自加密文件或注册表位置的各种有效负载组件。
RAILLOAD解密和执行防护栏
RAILLOAD的解密例程使用base64解码,然后是AES-128 CBC模式解密。这在某些变体中可以有执行防护栏。
RAILSETTER用于持久化和时间戳篡改
RAILSETTER是一个持久化安装程序组件,设计用于与RAILLOAD配合工作。其主要功能包括:
- 将RAILLOAD的预期主机从c:\windows\system32复制并重命名到目标目录
- 时间戳篡改RAILLOAD及其主机的创建、访问和修改时间
- 创建计划任务以实现持久化
后门和命令与控制
Earth Alux在这些阶段的大部分活动都使用VARGEIT的功能处理,其中一个功能引入了各种杂项工具。
作为一个多通道可配置后门,以下是其可用通道,这些通道主要用于通信,可以在配置中设置:
| ID | 通道 |
|---|---|
| 0x00 | HTTP |
| 0x01 | 反向TCP |
| 0x02 | 反向UDP |
| 0x03 | 绑定TCP |
| 0x04 | 绑定HTTP |
| 0x05 | Outlook |
| 0x06 | ICMP |
| 0x07 | DNS |
| 0x08 | Web |
| 0x09 | 绑定SMB |
在所有观察到的攻击中,主要使用Outlook通道,该通道利用Graph API。后来的变体还包括Outlook通道是唯一选项的版本。
Graph API允许授权访问用户的Outlook邮件数据,允许电子邮件相关操作,如阅读、发送和管理电子邮件,以及从主要和共享邮箱访问日历事件和联系人。
VARGEIT能力
VARGEIT的后门能力如下:
- 收集系统信息
- 使用不同通道进行通信
- 与Windows Defender防火墙交互
- 收集驱动器信息
- 收集运行进程信息
- 获取、设置、搜索、创建和删除目录
- 读取和写入文件
- 执行命令行
- 将杂项工具注入到受控的mspaint或conhost实例中
攻击者使用mspaint注入直接从C&C服务器执行额外工具到目标机器,而无需文件落地。VARGEIT打开一个mspaint实例,其中要注入来自C&C服务器的shellcode。
代码注入和执行使用RtlCreateUserThread、VirtualAllocEx和WriteProcessMemory。对于命令行工具,VARGEIT创建一个管道,可以读取输出并发送回控制器。对于需要交互的注入工具,后门使用命名管道。
发现、收集和外泄
值得注意的是,VARGEIT可以启动多个MSPaint实例来托管工具。在攻击的各个阶段可以执行各种活动:
安装
在最近的攻击中,Earth Alux改变了RAILSETTER的部署方法,这是其持久化安装工具之一。在作为要通过regsvr32.exe加载的DLL文件部署后,该工具通过mspaint方法执行。
发现
Earth Alux部署了似乎执行安全事件日志和组策略发现以及网络/LDAP侦察的工具。
收集
Earth Alux将可能的自定义压缩工具加载到mspaint中以进行收集目的。
外泄
Earth Alux还通过此方法部署外泄工具,以外泄在收集阶段创建的压缩文件。
有趣的是,外泄的数据被发送到攻击者控制的云存储桶。根据我们的遥测数据,Earth Alux使用相同的云存储桶从不同目标外泄数据。
测试和开发
Earth Alux使用RAILLOAD和RAILSETTER进行多项测试。这些包括检测测试和尝试寻找新的DLL侧加载主机。
DLL侧加载测试涉及ZeroEye,一个在中文社区流行的开源工具,用于扫描EXE文件的导入表以查找可被滥用于侧加载的导入DLL。
Earth Alux将ZeroEye与CloneExportTable配对使用,CloneExportTable是一个用于将指定DLL的导出表克隆到用于侧加载的DLL的导出表中的工具。
Earth Alux还使用VirTest,另一个在中文社区流行的测试工具,用于检测测试目的并增强其工具集的规避功能。
目标行业
Earth Alux主要针对多个行业,即政府、技术、物流、制造、电信、IT服务和零售,反映了其在不同行业中专注于高价值和敏感信息的战略重点。
该组织的活动主要出现在亚太地区,特别是泰国、菲律宾、马来西亚和台湾等国家。在2024年中期,Earth Alux将其业务扩展到拉丁美洲,在巴西报告了显著事件。
结论和安全建议
Earth Alux代表了一个复杂且不断发展的网络间谍威胁,利用多样化的工具包和先进技术渗透和危害多个行业,特别是在亚太地区和拉丁美洲。
其对VARGEIT后门的依赖,以及使用COBEACON和各种加载方法,突出了在目标环境中保持隐蔽和持久性的战略方法。
该组织持续测试和开发其工具进一步表明其致力于完善其能力和规避检测。
了解与Earth Alux相关的操作方法对于制定有效防御和减轻此类高级网络威胁带来的风险至关重要。为了加强对APT攻击的防护,组织可以通过实施以下安全最佳实践来采用主动安全 mindset:
- 定期修补和更新使用的系统,因为攻击者可以利用漏洞获得初始访问权限
- 执行警惕监控以观察任何异常活动,如异常繁重的网络活动、性能