亲中威胁组织利用 Windows 组策略部署间谍恶意软件

一个此前未记录的亲中威胁集群，代号 LongNosedGoblin，被归因于针对东南亚和日本政府实体的一系列网络攻击。

ESET 近日在报告中指出，这些攻击的最终目标是网络间谍活动。该威胁活动集群的活跃时间已追溯至 2023 年 9 月。

LongNosedGoblin 使用组策略在受侵网络中部署恶意软件，并利用云服务（如 Microsoft OneDrive 和 Google Drive）作为指挥控制（C&C）服务器，安全研究员 Anton Cherepanov 与 Peter Strýček 如是说。

组策略是一种在 Windows 机器上管理设置和权限的机制。根据微软的说法，组策略可用于为用户组和客户端计算机定义配置，也可管理服务器计算机。

这些攻击的特点是使用了多种自定义工具，主要由 C#/.NET 应用组成——

• NosyHistorian，用于收集 Google Chrome、Microsoft Edge 和 Mozilla Firefox 的浏览历史。
• NosyDoor，一种后门，使用 Microsoft OneDrive 作为 C&C，并执行能够外泄文件、删除文件和运行 shell 命令的指令。
• NosyStealer，用于将 Google Chrome 与 Microsoft Edge 的浏览器数据以加密的 TAR 档案形式外泄至 Google Drive。
• NosyDownloader，用于下载并在内存中运行负载，如 NosyLogger。
• NosyLogger，基于 DuckSharp 的修改版，用于记录按键。

ESET 表示，2024 年 2 月首次在东南亚某政府实体的系统中检测到与该黑客组织相关的活动，随后发现组策略被用于向同一家组织的多个系统投送恶意软件。目前尚不清楚攻击的初始入口方式。

“在我们调查的大多数案例中，攻击者已经在网络内部，所以无法确定他们使用的初始进入方法，”ESET 高级恶意软件研究员 Cherepanov 如是说。

进一步分析表明，虽然在 2024 年 1 月至 3 月期间大量受害者被 NosyHistorian 影响，但只有一部分受害者感染了 NosyDoor，说明攻击具有更精确的定位。某些情况下，用于部署后门的投放器通过 AppDomainManager 注入携带了“执行护栏”，旨在将操作限制在特定受害者机器上。

LongNosedGoblin 还使用了其他工具，如逆向 SOCKS5 代理、用于运行视频录制器捕获音视频的实用程序，以及 Cobalt Strike 加载器。

该网络安全公司指出，威胁行为者的作战手法与已追踪的 ToddyCat 和 Erudite Mogwai 集群有细微重叠，但缺乏决定性证据将其关联起来。不过，NosyDoor 与 LuckyStrike Agent 之间的相似性，以及 LuckyStrike Agent PDB 路径中出现的 “Paid Version” 字样，暗示该恶意软件可能已被出售或授权给其他威胁组织。

研究人员进一步说明，随后在欧盟某国的一个组织中再次发现了 NosyDoor 变体，该变体采用了不同的技术手段，并使用 Yandex Disk 云服务作为 C&C 服务器。此类变体的出现表明该恶意软件可能在多个亲中威胁组织之间共享。