關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.10.31
事件與威脅/資訊安全
在針對烏克蘭網路的網路攻擊中發現與沙蟲病毒相關的webshell和LOTL策略
最小化惡意軟體,最大化持久性

俄羅斯關聯的威脅行為者,很可能與惡名昭彰的APT組織沙蟲病毒(Sandworm,也被稱為Seashell Blizzard或APT44)有關,持續對烏克蘭機構發動複雜的網路攻擊。最近的調查揭示了兩種典型案例:一家大型商業服務公司遭受了長達兩個月的入侵,以及一家地方政府機構遭受了為期一周的攻擊。這兩起攻擊的共同目標都是竊取敏感資料並在受感染的網路中維持長期、隱蔽的存取權限。

賽門鐵克和Carbon Black威脅獵人團隊發現,一家大型商業服務公司遭受了長達兩個月的入侵,一家地方政府機構也遭受了為期一周的攻擊,這兩起攻擊的目的都是竊取敏感資料並維持長期存取權限。調查人員發現,攻擊者使用了一種定制的、與沙蟲病毒關聯的Webshell,並大量依賴「借力攻擊」(LOTL)(註)技術和雙用途工具,在不被檢測到的情況下,僅部署少量惡意軟體,從而在受感染的網路中保持持久性。 威脅情報團隊在周三發布的一篇文章中寫道:「攻擊者透過在面向公眾的伺服器上部署 Web Shell 來獲取業務服務組織的訪問權限,很可能是利用了一個或多個未修補的漏洞。」威脅情報團隊補充說:「雖然攻擊者在入侵過程中使用的惡意軟體數量有限,但大部分惡意活動都涉及合法工具,包括利用系統自帶工具或攻擊者引入的雙用途軟體。」

這種戰術轉變標誌著攻擊者在逃避偵測方面的精進,從傳統上依賴大量特製惡意軟體,轉向利用目標系統上已存在的合法工具,大大降低了數位足跡。

註:
借力攻擊(Living Off The Land, 簡稱 LOTL 或 LOLbins)是一種網路攻擊手法,是資訊安全領域中一種複雜且難以偵測的網路攻擊技術。攻擊者會利用目標系統中已經存在且合法、受信任的工具和功能來執行惡意活動,而不是引入新的惡意軟體(Malware),借力攻擊的核心概念: 攻擊者「靠著在地資源維生」(Living Off The Land),將攻擊活動偽裝成正常的系統操作,藉此避開傳統安全工具的偵測。 

 

入侵初始載體與沙蟲關聯

攻擊者最初是透過在面向公眾的伺服器上部署Webshell來獲取對業務服務組織的訪問權限,研究人員推測這很可能是利用了一個或多個未修補的漏洞。其中一個被使用的Webshell名為Localolive。根據微軟的情報,Localolive與俄羅斯沙蟲病毒的子組織有關聯,並曾被用於先前的沙蟲行動中,作為獲取初始存取權限的工具。

儘管調查人員無法獨立確認這次攻擊與沙蟲病毒的直接聯繫,但從戰術和工具的使用上判斷,這些攻擊行為具有明顯的俄羅斯起源特性。沙蟲病毒(由美國政府認定為俄羅斯軍事情報局GRU的一個部門)素來以破壞性攻擊和針對關鍵基礎設施的行動而聞名,例如先前針對烏克蘭電網的攻擊,以及惡名昭彰的NotPetya勒索軟體。

 

借力攻擊(LOTL)戰術的深度運用

這次攻擊的關鍵在於對借力攻擊(LOTL, Living-off-the-Land)技術和雙用途工具(Dual-use tools)的廣泛依賴。攻擊者在入侵過程中使用的惡意軟體數量極少,取而代之的是對合法工具的巧妙運用。

攻擊者展現出對Windows原生工具的深入了解,這使他們能在不留下明顯惡意軟體痕跡的情況下,在受害網路中推進攻擊並竊取敏感資料,例如憑證。觀察到的惡意活動包括:

  1. 偵察與環境探測:執行whoamitasklistsysteminfo和網域查詢等命令,以了解受害系統的配置和網路環境。

  2. 逃避防禦:手動停用或修改Windows Defender對特定資料夾(例如Downloads資料夾)的掃描。

  3. 憑證竊取:建立排定的任務(Scheduled Tasks)來轉儲記憶體(dump memory),以獲取使用者憑證。

  4. 持久性與橫向移動:導出登錄檔(registry hives)以供後續使用,並在幾天後部署第二個Webshell,為進一步的偵察和橫向移動至其他主機鋪路。

在攻擊過程中,研究人員還觀察到駭客引入並使用合法的MikroTik路由器管理程式(winbox64.exe),這是一個雙用途工具的典型例子。這種方法有效地將惡意活動隱藏在正常的系統操作中,極大地增加了資安團隊的偵測難度。

 

防禦啟示

這次針對烏克蘭網路的攻擊,揭示了國家級威脅行為者戰術的成熟化。他們利用最小化的惡意足跡、定制的Webshell和對系統原生工具的精確掌握,實現了長期的潛伏與持續的資料竊取。對於全球企業和政府機構而言,這是一個嚴重的警示:傳統的惡意軟體特徵碼偵測已不足以應對此類「無檔案」(fileless)或「少檔案」的攻擊。防禦策略必須將重點轉向對合法系統行為中的異常模式進行偵測,並嚴格管理和修補所有面向公眾伺服器的漏洞,以防止攻擊者利用Webshell獲取最初的立足點。


資料來源:https://industrialcyber.co/ransomware/sandworm-linked-webshell-and-lotl-tactics-found-in-russian-cyberattacks-targeting-ukrainian-networks/
 
分析了Symantec與Carbon Black威脅獵人團隊所揭露的、針對烏克蘭網路的駭客攻擊