2020年6月，卡巴斯基研究人員發現了一場針對越南政府和軍事部門實體的高階網路間諜活動。最終的有效載荷是一個遠端管理工具，它可以完全控制受感染的裝置。進一步分析表明，這場攻擊行動是由一個與Cycldek相關的威脅組織進行的，Cycldek是一個至少從2013年就開始活躍的說中文的威脅組織，該威脅組織在複雜性方面邁出了重要的一步。

說中文的威脅行為者經常互相分享他們的技術和方法，這使得卡巴斯基研究人員很容易追蹤與LuckyMouse、HoneyMyte和Cycldek等知名網路間諜組織相關的高階持續性威脅（APT）活動。因此，當研究人員看到這些威脅組織最著名的一個策略——“DLL側面載入三合一”被用來針對越南政府和軍事實體進行攻擊時，他們立即就注意到了。

DLL或動態連結庫是計算機上其他程式要使用的程式碼段。 在DLL側面載入中，一個經過合法簽名的檔案（例如來自Microsoft Outlook）被欺騙來載入惡意DLL，從而使攻擊者可以繞過安全產品。在最近發現的攻擊行動中，DLL側面載入感染鏈執行了用於解密最終有效載荷的shellcode：一個被卡巴斯基命名為FoundCore的遠端訪問木馬，該木馬能夠讓攻擊者完全控制被感染裝置。

但是更有趣的是用來保護惡意程式碼不被分析的方法——這種方法標誌著該地區攻擊者在複雜性方面有了重大進步。最終有效載荷的標頭（程式碼的目標和源）被完全剝離，剩下的幾個包含不連貫的值。攻擊者這樣做，可以讓研究人員對惡意軟體進行逆向工程分析的難度大大增加。不僅如此，感染鏈的各個組成部分緊密耦合，這意味著對一個片段單獨進行分析非常困難，有時候甚至是不可能的，從而無法全面瞭解惡意活動。

卡巴斯基研究人員還發現這種感染鏈會下載兩個額外的惡意軟體。第一個為DropPhone，它從受害計算機中收集環境資訊，並將其傳送到DropBox。第二個為CoreLoader，其執行的程式碼能夠幫助惡意軟體躲避安全產品的檢測。

數十臺計算機遭到這次攻擊行動的影響，其中80%的受感染計算機位於越南。這些計算機大部分屬於政府或軍事部門，其他目標則與醫療、外交、教育或政治有關。在中亞和泰國也發現少量被攻擊目標。

“根據攻擊行動中釋放的惡意軟體與我們去年發現的RedCore惡意軟體的相似性，我們認為這次攻擊行動是由Cycldek發起的，但無法確定。直到最近，我們一直認為Cycldek是一個複雜程度不高的說中文的威脅行為者，主要在該地區進行網路間諜行動。但是，最近的這次攻擊活動標誌著他們的能力有了重大飛躍，”卡巴斯基全球研究和分析團隊（GReAT）高階安全研究員Ivan Kwiatkowski評論說。

“總體來看，過去一年，我們注意到很多說中文的威脅組織在他們的攻擊行動中投入了更多的資源，磨鍊他們的技術能力。在這次攻擊中，他們增加了更多層的混淆，使得反向工程變得顯著複雜。這表明這些威脅組織可能正在尋求擴大他們的活動。目前來看，這此次攻擊活動似乎更多的是地方性的威脅，但未來很有可能在不同地區的更多國家中發現FoundCore後門，”全球研究和分析團隊高階安全研究員Mark Lechtik補充說。

“此外，鑑於這些說中文的威脅組織往往會互相分享他們的策略，因此在其他攻擊活動中發現這些同樣的混淆策略並不足為奇。我們將密切監控威脅環境，尋找類似的可疑活動。對企業來說，最好的做法是掌握最新的威脅情報，這樣他們就知道要注意什麼了，”全球研究和分析團隊高階安全研究員Pierre Delcher評論說。

為了保護您的公司免受此類高階持續性威脅活動的影響，卡巴斯基專家建議：

安裝反APT解決方案和EDR解決方案，並啟用威脅發現和檢測、調查以及事件及時修復功能。為您的SOC團隊提供對最新威脅情報的訪問，並對他們定期進行專業培訓。以上所有內容都可以在卡巴斯基專家安全框架內實現。

關於卡巴斯基

卡巴斯基是一家成立於1997年的全球網路安全和數字隱私公司。卡巴斯基不斷將深度威脅情報和安全技術轉化成最新的安全解決方案和服務，為全球的企業、關鍵基礎設施、政府和消費者提供安全保護。公司提供全面的安全產品組合，包括領先的端點保護解決方案以及多種針對性的安全解決方案和服務，全面抵禦複雜的和不斷演化的數字威脅。全球有超過4億使用者使用卡巴斯基技術保護自己，我們還幫助全球240，000家企業客戶保護最重要的東西。