中国骇客APT41附属组织利用Sidewalk后门发动攻击，台湾也有灾情

最近2到3年，中国骇客组织攻击行动日益频繁，而引起资安研究人员的关注。近期ESET、趋势科技、赛门铁克陆续揭露，中国骇客组织APT41（又名Winnti、Barium、Wicked Panda、Wicked Spider）旗下的骇客团队，自2020年中旬，开始运用新的后门程式SideWalk（亦称作ScrambleCross），锁定台湾在内的多个国家下手，攻击者疑似透过Exchange、SQL Server、MySQL入侵受害组织。

这个后门程式SideWalk的细节，最早是由ESET与趋势科技于8月底揭露。而到了9月初，赛门铁克也公布他们观察到一起攻击行动的细节。虽然从攻击手法、锁定的目标、攻击者的身份来看，3家资安业者的发现有所差异，但共通点是骇客组织与APT41有关，而且台湾是遭到攻击的国家，以及攻击行动仍在进行当中。因此，攻击者运用这个后门程式的情形，也相当值得我们留意。

后门程式经由挟带的方式执行

而针对SideWalk的运作方式，这些资安公司都提及是经由Shellcode或Web Shell，让后门程式运作，其中，ESET对于SideWalk后门程式的部分，揭露了较多的细节。该公司提到，SideWalk是模组化的后门程式，可动态载入C2中继站提供的额外模组，而这个后门程式运用Google Docs作为固定情报投放点解析器（Dead Drop Resolver，亦作为情报交换点解析器），并使用Cloudflare Workers作为C2中继站。同时，SideWalk也具备处理透过代理服务器（Proxy）连线的通讯能力。ESET研究人员提到，SideWalk与骇客组织APT41所运用的另一款后门程式Crosswalk，存在多个相似的特质。

什么是固定情报投放点解析器？固定情报投放点（Dead Drop）源自于间谍和情报人员的用语，这是在传递秘密情报时，事先约定好的地点、时间，提供情报者先将机密放置于该处即离开，随后另一个情报人员再于指定时间前往取得资料，以避免两人会面而曝露身份导致危险，这种做法在007系列的电影里可说是相当常见。而如今这样的手法也被用于网络攻击上，指的是攻击者往往利用合法的服务来做为解析器，来提供额外的C2中继站资讯，以避免C2中继站位置曝光的情况。

ESET揭露SideWalk后门程式利用Google Docs做为固定情报解析器（Dead Drop Resolver），这份解析资料是名为temp的Google Docs文件，内有一组字串，ESET拆解如下方内容，内有识别密语的特定段落、酬载的档案大小、解密金钥、档案杂凑值，以及C2中继站的加密IP地址等。

而趋势科技则是对于攻击者执行的方式，提供了较为完整的说明──SideWalk是以Shellcode为基础的后门程式，攻击者为了载入这个酬载，他们也搭配两个Shellcode载入程式：StealthVector与StealthMutant。这两个载入工具分别由C++与C#编译而成，都具备停用Windows事件追踪器（Event Tracing for Windows，ETW）的能力，并透过算法加密来增加研究人员反组译的难度。不过，这些载入器的所加密的模组、算法都不尽相同，StealthVector是针对组态设置的部分，使用ChaCha20算法加密，而大部分的StealthMutant则是采用AES-256-ECB算法，来解密要执行的酬载。

此外，趋势科技指出，他们看到攻击者不只透过上述载入器执行SideWalk，也有些攻击事故是载入Cobalt Strike Beacon。

至于赛门铁克则是在其中一起攻击事故中，看到攻击者使用Exchange服务器合法的应用程序，执行以Base64编码的PowerShell指令，在受害的Exchange服务器上植入Web Shell，在几分钟后，攻击者利用.Net Framework的安装工具Installutil.exe，来挟带后门程式SideWalk执行。

受害范围横跨全球多个产业，台湾包含其中

究竟骇客攻击的目标为何？ESET、趋势、赛门铁克的看法有所不同，从地区来看，ESET认为主要针对东亚与东南亚，而趋势则认为是锁定印度及太平洋地区（台湾、印度、印尼、马来西亚、菲律宾、越南）；至于赛门铁克表示，这波攻击是对于台湾、越南、美国，以及墨西哥而来。

而在受害的产业分布而言，ESET认为学术机构是骇客的主要目标，赛门铁克则认为是集中在电信业。趋势并未特别提出骇客锁定的产业类型，但表示受害者遍及航空业、电脑硬件、汽车、基础设施、出版、媒体，以及IT产业等。

对于已经识别的受害组织，ESET研究人员也归纳如下：

1.学术机构：台湾、香港、澳门的学术机构
2.宗教组织：台湾宗教组织
3.制造商：台湾电脑暨电子产品制造商
4.-单位：东南亚-组织（未公布国家与单位类型）、乔治亚地方-
5.电商平台：韩国电商平台
6.媒体：美国、印度、巴林（Bahrain）的媒体
7.零售业者：美国电脑零售业者
8.尚未确认：韩国、新加坡组织

虽然上述研究人员分析的结果有所差异，但值得关注的是，他们都提及台湾已有受害组织，因此这起攻击行动相当值得我们特别关注。

攻击对象多元，骇客同时采用主动与被动手法

而对于骇客如何入侵受害组织，进而植入SideWalk后门程式？趋势与赛门铁克都有提及他们的观察。趋势指出，他们看到了多种手法，包含使用指令码（Script）来发动SQL注入攻击（SQL Injection），在微软SQL Server植入恶意档案，或者，利用ProxyLogon漏洞CVE-2021-26855，在Exchange服务器部署Web Shell。此外，他们也看到攻击者采取钓鱼邮件攻击的方式，使用含有恶意档案的电子邮件来入侵。

赛门铁克则是表示，攻击者是透过Exchange和MySQL服务器。他们在其中一起攻击事故中，看到遭骇的Exchange服务器执行PowerShell指令，下载来路不明的Web Shell。研究人员指出，一旦攻击者成功植入后门SideWalk，就会部署客制化版本的Mimikatz密码解析工具，而这款客制化工具曾被名为Grayfly的骇客组织用于攻击行动。但究竟攻击者如何入侵MySQL服务器？研究人员没有进一步说明。