針對中國電信業的復雜網絡攻擊:DRAGONCLONE行動曝光
責編:gltian |2025-06-11 17:11:14Cyberpress網站6月10日報道,Seqrite Labs APT團隊發布技術分析分析報告,披露了名為“DRAGONCLONE”的網絡攻擊行動,這是一場針對中國電信巨頭中國移動旗下子公司中移鐵通有限公司的高度復雜且技術先進的網絡攻擊。該行動通過精心設計的多階段攻擊鏈,結合了VELETRIX和VShell兩種惡意軟件,展示了威脅行為者在惡意軟件開發和攻擊策略上的深厚技術積累和創新能力。典型手法包括合法軟件二進制濫用、DLL側載、反沙盒反檢測技術以及模塊化跨平臺載荷設計。詭異的是,Seqrite Labs的溯源分析分析顯示,攻擊活動的黑手竟然與東大有關聯。
攻擊載體與初始感染階段
此次攻擊的入口是一份偽裝成中國移動鐵通有限公司內部培訓項目的惡意ZIP文件,命名為“attachment.zip”。該壓縮包內包含多個可執行文件和DLL,且部分二進制文件帶有合法數字簽名,這顯著提升了攻擊載荷繞過安全檢測的可能性。特別值得注意的是,攻擊者濫用了萬興修復專家(WonderShare RepairIt)軟件的合法二進制文件,通過DLL側載技術實現了惡意DLL(即VELETRIX)隱秘加載。
這種利用合法軟件的簽名和功能作為偽裝,反映了攻擊者精心設計的逃避機制,有效減少了傳統安全產品的攔截概率。
多階段惡意軟件技術解析
VELETRIX作為初始植入程序,采用了多種反沙盒技術,包括基于API的時間延遲機制(Sleep和Beep函數,底層調用NtDelayExecution)以及IPFuscation技術。IPFuscation將惡意shellcode編碼為IPv4地址字符串,通過Windows API RtlIpv4StringToAddressA解碼,隨后以XOR運算完成進一步反混淆,并通過回調函數機制(EnumCalendarInfoA)隱蔽執行shellcode。這種創新的回調觸發機制,極大增加了惡意代碼執行的隱蔽性。
隨后,VELETRIX在內存中加載VShell惡意軟件。VShell是一款基于Golang開發的跨平臺遠控框架,雖然最初作為開源工具被開發,但已被多起中國背景APT組織廣泛利用。該VShell植入體支持復雜的網絡通信功能,允許攻擊者遠程控制受感染設備,具備高度靈活的后續滲透能力。
基礎設施與威脅行為者歸因
通過對惡意軟件植入和命令控制(C2)基礎設施的深入分析,研究人員發現了44個使用相同硬編碼鹽值“qwe123qwe”的VShell植入體,這些C2服務器分布于美國、香港等多個國家和地區。同時,相關基礎設施中還發現了常見的后滲透工具Cobalt Strike和SuperShell,這些工具均與被稱為UNC5174(Uteus)及Earth Lamia的組織活動高度重疊。
此外,研究人員還發現該基礎設施利用了開源資產發現平臺Asset Lighthouse System進行偵察和攻擊面映射。該系統能識別暴露的IP、端口和域,助力攻擊者精準鎖定目標資源。聯合對近期已知漏洞(如ScreenConnect CVE-2024-1709和SAP NetWeaver CVE-2025-31324)的利用情報,進一步確認了該行動的技術廣度和復雜度。
攻擊的戰略意義與防御建議
“DRAGONCLONE”行動彰顯了APT組織不斷演進的攻擊技術,包括合法軟件二進制濫用、DLL側載、反沙盒反檢測技術以及模塊化跨平臺載荷設計。其目標明確鎖定了中國電信行業這一國家關鍵基礎設施,反映出對電信領域高價值資產的持續威脅。
此類攻擊表明,傳統基于簽名和靜態檢測的安全防御手段面臨嚴重挑戰。防御建議應包括:
加強對DLL側載和代碼簽名濫用的監測,結合行為分析提高檢測準確性。
對網絡通信實行嚴格的C2流量檢測,利用威脅情報封堵已知惡意C2節點。
采用多層次反沙盒檢測技術,結合動態分析延遲與回調行為,識別潛在的復雜隱蔽載荷。
持續關注并及時修補關聯漏洞,防止攻擊者利用已知漏洞快速入侵。
總結
DRAGONCLONE行動代表了現代APT組織運用多樣化技術手段針對關鍵基礎設施的典型案例。它結合了創新的惡意軟件編碼技術、高級載荷執行策略和精細化基礎設施管理,體現了高度的攻擊成熟度和持久的作戰能力。對于中國電信行業及類似關鍵領域而言,必須強化安全防護策略,提升對高級威脅的感知和響應能力,才能有效抵御此類持續且復雜的網絡攻擊。
參考資源
1、https://cyberpress.org/chinese-telecom-companies/
2、https://www.seqrite.com/blog/operation-dragonclone-chinese-telecom-veletrix-vshell-malware/