駭客攻擊深度剖析:
串流媒體與GitHub背後惡意行為

微軟安全部門發現了一場來自非法串流媒體網站的大規模惡意廣告攻擊(Malvertising campaign),該攻擊將用戶重新導向到託管在 GitHub 等平台上的惡意Payload。該攻擊攻擊被追蹤為 Storm-0408,影響了廣泛的組織,並使用多階段攻擊鏈(Multi-stage attack chain),透過 Lumma 等資訊竊取程式竊取資訊。攻擊者使用社交工程、living-off-the-land 程式和遠端監控工具等技術來破壞設備並竊取資料。 Microsoft 提供建議、偵測和搜尋查詢來幫助組織減輕這種威脅。其他觀察到的威脅包括設備代碼網路釣魚、透過 ASP.NET 機器金鑰(Machine key)進行程式碼注入、受感染設備的密碼噴灑攻擊(Password spray attack)以及濫用檔案託管服務進行身份網絡釣魚。

駭客攻擊深度剖析:串流媒體與GitHub背後惡意行為| 資訊安全新聞

攻擊鏈分解

  • 初始重新導向:攻擊始於非法串流媒體網站,這些網站在電影影格(Movie frame)中嵌入惡意廣告重新導向器(Malvertising redirector)以賺取收入。
  • 中間重新導向:然後,使用者被引導通過一個或兩個額外的惡意重新導向器,最終進入惡意軟體或技術支援詐騙網站等網站。
  • GitHub 作為主機:最終的重新導向指向 GitHub,這是提供初始存取Payload的主要平台。微軟也觀察到 Discord Dropbox 上託管的Payload。
  • 惡意軟體部署:GitHub 儲存庫現已被刪除,其中包含用於部署其他惡意檔案和Script的惡意軟體。
  • 多階段Payload傳遞:在獲得初步立足點後,惡意軟體啟動了模組化、多階段方法進行Payload傳遞、執行和持久性。這涉及收集系統資訊並設定進一步的惡意軟體和Script以從受感染的主機中竊取檔案和資料。此次攻擊被標記為 Storm-0408

惡意軟體階段和攻擊

此攻擊中部署的惡意軟體包含多個階段,每個階段都有特定目的。

  • 1. 第一階段Payload:託管在 GitHub 上,此 Payload 可作為後續Payload的投放器。截至 2025 年 1 月中旬,這些 Payload 已使用新建立的憑證進行了數位簽章,但所有憑證都已撤銷。第一階段的 Payload 通常會釋放合法檔案來發揮其功能。
  • 2. 第二階段Payload:主要功能是系統發現並將收集的資料外洩到命令和控制 (C2) 伺服器。這包括收集有關記憶體大小、圖形細節、螢幕解析度、作業系統和使用者路徑的資料。然後對收集到的系統資料進行 Base64 編碼,並將其作為查詢參數洩漏給 IP 位址。
  • 3. 第三階段Payload:根據第二階段Payload的不同,會投放一個或多個可執行檔案,有時會投放編碼的 PowerShell Script。這些檔案啟動了一系列事件,包括命令執行、Payload傳遞、防禦規避、持久性、 C2 通訊和資料外洩。可執行檔通常會放置一個命令檔 (.cmd) 來發現正在運行的程式並蒐索與安全軟體相關的關鍵字。
  • 4. 第四階段有效Payload:根據執行的 .com 檔案,重新命名的 AutoIT 檔案可能會放置 PowerShell Script來修改 Microsoft Defender 以新增排除路徑,因此不會掃描指定的資料夾。 PowerShell 命令執行的操作包括發送 Web request、從 URL 下載資料以及將下載的資料寫入記憶體流並將其儲存為 .zip 檔案。

Living-off-the-Land

Threat actor使用 Living-off-the-Land 程式和Script (LOLBAS),例如 PowerShell.exeMSBuild.exeRegAsm.exe,用於 C2 和使用者資料及瀏覽器認證 ( Browser credential ) 的資料外洩。

資訊竊取

Microsoft 建議採取多種緩解措施來減少此類威脅的影響。

  • 加強 Microsoft Defender for Endpoint 設定:
    • 確保已啟用防篡改保護(Tamper protection)。
    • 啟用網路防護和 Web 保護。
    • 以區塊模式 ( Block mode ) 執行 Endpoint Detection and Response (EDR)。
    • 以全自動模式做設定調查和補救。
  • 加強操作環境設定:
    • 要求採用多因素身份驗證 (MFA),最好是防網路釣魚的方法。
    • 實施 Entra ID 條件存取身分驗證強度。
    • 鼓勵使用支援 Microsoft Defender SmartScreen 的網頁瀏覽器。
    • 為遠端桌面服務連線啟用網路層級身份驗證。
    • 啟用Local Security Authority (LSA) 保護。
    • 使用 AppLocker 限制特定的軟體工具。

偵測

Microsoft Defender Antivirus 將威脅元件偵測為各種惡意軟體類型。 Microsoft Defender for Endpoint 提供的警報可能會指示威脅攻擊。 Microsoft Defender for Cloud 提供的警報可能會指示威脅攻擊。 Microsoft Security Copilot 客戶可以使用 promptbooks 自動執行事件回應或調查任務。

入侵指標 (IOC)

報告提供了全面的 IOC 列表,包括:

  • 帶有惡意 iframe 的串流網站網域
  • 惡意 iframe 重新導向器網域
  • 惡意廣告經銷商網域
  • 惡意廣告網站網域
  • GitHub 參考 URL
  • Dropbox 和 Discord URL
  • 第二階段、第三階段和第四階段 C2

威脅情報報告

Microsoft 客戶可以利用 Microsoft 產品中的報告來存取有關 Threat actor、惡意攻擊和技術的最新資訊。這些報告提供情報、保護資訊和建議行動。

結論

來源中詳述的惡意廣告攻擊凸顯了現代網路攻擊的複雜性和多階段性。攻擊者使用欺騙手段(例如在非法串流媒體網站中嵌入惡意重新導向)來滲透大量裝置。該攻擊利用 GitHub、Discord 和 Dropbox 等可信任平台來託管惡意軟體,使其更難以檢測和刪除。消息來源的關鍵要點:

  • 此攻擊涉及多個階段的 Payload 傳遞,每個階段都用於執行特定功能,例如尋找系統(System discovery)、資料收集和洩漏。
  • 攻擊者採用了各種技術來逃避偵測,包括對Payload進行數位簽章、使用 LOLBAS(Living Off the Land Binaries and Scripts)以及修改系統安全設定。
  • Lumma Stealer 和 Doenerium 等資訊竊取程式被用來從受感染的裝置收集敏感資料。
  • 報告提供了一份全面的 IOC(Indicators of Compromise)列表,以幫助組織偵測和緩解類似的威脅。
  • Microsoft 建議加強 Microsoft Defender for Endpoint 和操作環境中的安全性設定,包括啟用防篡改保護、網路保護和多因素身份驗證。

透過了解此攻擊中使用的 TTP(策略、技術和程序)並實施建議的緩解措施,組織可以更好地保護其系統和資料免受類似攻擊。