疑似俄黑客组织APT29针对德国实体的网络攻击

摘要：Cyble 研究与情报实验室 (CRIL) 最近发现了一起针对德国实体的新网络攻击。此攻击利用DLL 侧载、DLL 代理和 Sliver 植入等复杂技术来入侵系统。该攻击使用这些高级方法来逃避检测并在受害者的网络中建立持久立足点。

Cyble 研究与情报实验室 (CRIL) 最近发现了一起针对德国实体的新网络攻击。此攻击利用DLL 侧载、DLL 代理和 Sliver 植入等复杂技术来入侵系统。该攻击使用这些高级方法来逃避检测并在受害者的网络中建立持久立足点。

正在进行的活动最早由CRIL发现，它采用高度欺骗性的方法来入侵系统。首先是一封包含存档文件的钓鱼电子邮件。打开后，这个看似无害的存档包含几个旨在利用受害者系统的组件。

最值得注意的文件之一是快捷方式 (.LNK) 文件，执行后会打开一个看似无害的文档，名为“Homeoffice-Vereinbarung-2025.pdf”——一个诱饵远程工作协议。然而，真正的损害发生在后台。

执行 LNK 文件后，系统会运行位于 C:\Windows\System32 目录中的合法可执行文件 wksprt.exe。此可执行文件执行 DLL 侧加载，这是一种将恶意 DLL 文件（IPHLPAPI.dll）加载到系统中的技术。有趣的是，此恶意 DLL 旨在模仿合法的系统文件，从而增加其绕过安全措施的机会。

恶意 DLL 使用 DLL 代理来拦截可执行文件发出的函数调用，并将其转发到另一个合法 DLL。这种代理技术允许恶意 DLL 在后台执行有害的 shellcode 时不被发现。shellcode 一旦执行，就会解密并运行最终的有效负载：Sliver 植入程序，这是一种流行的开源框架，用于对手模拟和红队演习中的命令和控制操作。

感染链

攻击始于受害者提取存档文件，其中包含多个文件，名称包括 IPHLPAPI.dll、ccache.dat 和 Homeoffice-Vereinbarung-2025.pdf.lnk。这些文件乍一看似乎无害，PDF文档是主要诱饵。

诱饵文件

一旦执行 LNK 文件，它就会触发一系列命令，将 wksprt.exe 和其他恶意文件复制到特定的系统目录中，包括 %localappdata% 路径下的隐藏 InteI 文件夹。

为了确保持久性，wksprt.lnk 快捷方式被放置在系统的启动文件夹中，以确保恶意软件在系统重新启动时自动执行。在此过程中，恶意 DLL 文件使用 DLL 代理加载另一个合法 DLL，然后协助读取包含嵌入 shellcode 的加密 ccache.dat 文件。

高级逃避技术

攻击中使用的 DLL 侧载和 DLL 代理技术对于绕过传统检测机制至关重要。恶意 IPHLPAPI.dll 文件被设计成看起来像标准系统文件，这使得安全工具更难将其识别为恶意文件。此外，通过使用 DLL 代理，攻击者可以在后台运行恶意代码的同时保持受感染应用程序的正常行为。

一旦读取并解密 ccache.dat 文件，它就会显示 shellcode，而 shellcode 又会运行另一个解密过程来检索实际的有效载荷。这种多层解密使安全解决方案更难检测到攻击，直到它已经造成损害。最后一个有效载荷是 Sliver 植入物，它与攻击者的服务器建立通信通道，允许他们在受感染的系统上执行进一步的操作。

红队工具 Sliver 在攻击中的作用

Sliver 是红队行动的开源框架，攻击者使用它来控制受感染的系统。该框架允许对受感染的网络进行复杂的远程控制和监控。植入体可用于执行各种恶意活动，从窃取数据到部署其他恶意软件。

一旦Sliver 植入程序激活，它就会连接到远程服务器，具体如下：

hxxp://www.technikzwerg[.]de/auth/auth/authenticate/samples.html

.php

攻击者利用这些远程端点进一步利用受害者的系统，帮助安装额外的恶意负载或窃取敏感数据。

潜在归因

虽然攻击细节仍在调查中，但有多个迹象表明，这可能是 APT29 所为。APT29 被认为是俄官方支持的网络间谍组织。

DLL 侧载的使用、Sliver 的部署以及攻击的复杂性质与之前在 APT29 活动中观察到的策略一致。然而，DLL 代理的引入是一种新技术，在他们之前的行动中从未见过，这使得确定归因变得具有挑战性。

对德国实体的影响

此次攻击专门针对德国的组织，德语诱饵文件和初始存档文件从德国某地上传到 VirusTotal 的事实都证明了这一点。伪装成内政部协议的诱饵文件似乎旨在利用德国日益增长的远程工作趋势，这与该国当前的劳动力动态高度相关。

此次网络攻击凸显了现代威胁日益复杂化，特别是那些针对拥有高价值数据或关键基础设施的企业和组织的威胁。