关键发现
- 欧洲两起事件响应案例涉及与中国高级威胁组织关联的Shadowpad恶意软件。研究发现该恶意软件在7个月内攻击了全球15个国家的21家企业,其中制造业占比超50%。
- 攻击者通过弱密码爆破VPN并绕过证书型多因素认证(具体方法未知)入侵网络,最终在域控制器部署Shadowpad。
- 部分案例中,攻击者部署了此前未公开的新型勒索软件家族,其加密算法与Kodex Evil Extractor工具有显著差异,可能是攻击者的误导手段。
攻击链分析
初始入侵
- 攻击路径:VPN → 弱密码爆破/多因素认证绕过 → 获取管理员权限 → 部署Shadowpad
- 特殊手段:在证书型MFA环境下仍成功突破(可能通过预先获取有效证书)
恶意工具集
-
Shadowpad变种:
- 新增反调试技术(6种检测机制,包括PEB检查、RDTSC指令计时等)
- 采用DoH(DNS over HTTPS)隐藏C2通信
- 配置结构升级:新增3字节标识符和类型字段(含5种加密数据类型)
-
新型勒索软件:
- 加载链:合法usysdiag.exe → 恶意sensapi.dll → 加密载荷usysdiag.dat
- 加密机制:每文件生成随机AES密钥 → RSA公钥加密后附加到文件末尾
- 伪装手段:复制Kodex勒索说明文档界面但实际算法完全不同
-
后期工具:
- CQHashDumpv2:提取SAM数据库
- Impacket工具包:WmiExec远程执行
- NTDSUtil:转储Active Directory数据库(生成aaaa.dit文件)
技术对抗演进
- 反分析增强:利用卷序列号加密内存载荷,删除磁盘原始文件
- C2隐蔽通信:历史版本使用8个C2域名,当前仅发现updata.dsqurey[.]com活跃
- 载荷投递:滥用11种合法签名程序(如NVIDIA/微软/华硕的旧版软件)进行DLL侧加载
受害者画像
| 行业 | 数量 | 地域分布 |
|---|---|---|
| 制造业 | 11 | 欧洲(9)、亚洲(8) |
| 交通运输 | 2 | 中东(3)、南美(1) |
| 出版业 | 2 |
防御建议
- 制造业等高危行业应重点检查VPN的证书型MFA实现漏洞
- 监控异常进程(如RoboTaskBarIcon.exe加载roboform-x64.dll)
- 部署具备内存取证能力的EDR产品对抗无文件攻击
值得注意的是,所有勒索支付地址均未观测到资金流入,表明攻击者可能以数据窃取为主要目的,勒索仅为干扰手段。
完整IOC列表和检测规则可通过Trend Vision One平台获取。