APT41 部署隐蔽后门以窃取云凭证

执行摘要

与中国有关的威胁组织APT41正在积极针对包括亚马逊网络服务（AWS）、谷歌云平台（GCP）、微软Azure和阿里巴巴云在内的主要云服务提供商，部署一种新发现的后门，旨在最小化检测。根据SentinelOne的分析，此次行动专注于在云环境中收集凭证和建立持久访问，使用拼写错误的域名来掩盖指挥与控制（C2）流量。

技术分析

SentinelOne的研究人员尚未公开命名的这个后门是一个用Go语言编写的轻量级可执行文件。其主要功能是执行从C2服务器接收的命令并外泄结果。恶意软件采用了几种技术来逃避检测，包括使用合法的云域名进行C2通信。具体来说，攻击者注册了与合法云服务URL非常相似的域名（拼写错误），使网络流量看起来无害。后门的代码并不复杂，但其操作安全（OPSEC）和目标定位都很复杂。它被设计成融入正常的云管理流量，专注于窃取云访问密钥、API令牌和其他对保持环境立足点至关重要的凭证。确切的初始感染向量尚不清楚，尽管APT41有利用公共面向应用程序和VPN漏洞的历史。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

APT41在此次行动中的战术、技术与程序（TTP）与其已知的对云和混合环境的关注一致。观察到的技术包括：

• 执行（T1204）： 用户执行恶意二进制文件，很可能通过可信渠道传递或在初始入侵后执行。
• 持久性（T1543）： 将后门安装为服务或计划任务以保持访问。
• 指挥与控制（T1071, T1568）： 使用应用层协议（HTTP/HTTPS）进行C2通信，通过路由流量经过模仿主要云提供商的拼写错误的域名来伪装。
• 凭证访问（T1555）： 后门的核心功能是收集存储在云配置文件、环境变量和凭证存储中的凭证。
• 防御规避（T1036, T1070）： 将C2流量伪装成合法云服务流量，并可能清除日志以避免检测。

威胁行为者背景

APT41，也被称为Winnti、Barium和Double Dragon，是一个多产的中国国家赞助的威胁组织，以混合网络间谍活动和财务驱动的行动而闻名。该组织有着针对技术、电信和视频游戏行业的长期历史。他们最近的行动显示出明显转向云基础设施的趋势，反映了企业数据和服务的更广泛迁移。这项最新活动展示了APT41对现代IT格局的持续适应，专注于控制云资源访问的高价值凭证。归因于中国是基于多个网络安全公司和政府机构观察到的工具、基础设施和目标定位的长期模式。

缓解措施与建议

组织，特别是使用多云环境的组织，应实施以下措施：

• 执行严格的云IAM策略： 对所有身份（用户、服务账户、角色）应用最少权限原则。定期审计和轮换访问密钥和凭证。
• 监控异常网络流量： 实施网络监控，可以检测到连接到可疑或新注册域名的连接，即使是使用SSL/TLS的连接。寻找与您批准的云服务不相关的IP或域名的出站连接。
• 加固端点和服务器： 确保所有访问云管理控制台的系统都经过严格的修补，运行端点检测和响应（EDR）工具，并限制管理能力。
• 审计云环境： 使用云安全态势管理（CSPM）工具识别配置错误，例如过度宽松的安全组或公开暴露的管理接口。
• 实施多因素认证（MFA）： 对所有云管理账户和用户访问强制执行MFA，无一例外。
• 威胁狩猎： 主动寻找与主要云提供商域名略有拼写错误的域名建立网络连接的过程（例如，awslambda.com与aws.amazon.com）。