Zoho WorkDrive 俾 APT 當 C2:公司防線唔可以淨係信 SaaS 流量
Tech News

Zoho WorkDrive 俾 APT 當 C2:公司防線唔可以淨係信 SaaS 流量

圖片:via iThome — https://www.ithome.com.tw/news/177205
TechLab 編輯部(譯)·

Acronis 指攻擊混入雲端流量,IT 要睇 endpoint 發起咩連線。

印度案同公司 IT 有咩關係

iThome 報道 Acronis TRU 喺 6 月 28 日公開研究,話一批同 Mustang Panda 相關嘅攻擊,鎖定印度政府部門,同水力發電相關機構。公開資安資料長期將 Mustang Panda 同中國背景網上間諜活動連上,但今次指向佢嘅判斷,仍然要跟 Acronis 報告嘅證據講。誘餌圍住印度同台灣機構嘅 MOU、能源合作呢類題目;Acronis 話佢哋見到印度政府多部機器中招,亦同 CERT-In 分享線索。歸因要講清楚:Mustang Panda 同間諜目的,都係 Acronis 睇攻擊手法、工具重疊同基建痕跡後得出嘅高信心評估,唔係外部獨立定案。

WorkDrive 點樣變成遙控通道

今次最值得拆嘅位,係 ZOHOMURK 冇連去一個陌生 IP 等防火牆攔。C2 即係攻擊者遙控受害機同收 output 嘅通道;Acronis 逆向後話,惡意程式入面硬編碼咗 Zoho OAuth 嘅 refresh token、client ID 同 client secret,先向 accounts.zoho.com 換 access token,再用 WorkDrive API 開資料夾、收指令、上載結果。攻擊者可以喺 inbox 放指令檔,受害機下載、解密、執行,行完就送 output 返 outbox。對 proxy 嚟講,表面可能只係一部 Windows 機去 Zoho 網域。

DLL sideloading 令簽名 exe 變保護色

入口都係老派但有效:spear-phishing ZIP 內有合法簽名 EXE,同惡意 DLL 放同一個資料夾。Windows 喺冇寫死完整路徑時,會跟搜尋次序載入 DLL;Microsoft 文件都講,unpackaged app 會優先查 app 載入來源資料夾。Acronis 見到兩條線,一條用 Solid PDF Creator 元件拖起 SHARDLOADER,再帶出走 HTTPS WebSocket 嘅 MINIRECON;另一條用 Citrix Receiver 嘅 pcl2bmp.exe 載入 ctxmui.dll,ZOHOMURK 就喺呢度起動。簽名唔等於安全,因為簽名係 exe 嘅,唔代表旁邊嗰粒 DLL 可信。

OAuth 變成盲位

Zoho 官方 OAuth 文件本身冇錯:app 攞到 consent 後只可按 scope 存取資源,access token 1 小時過期,refresh token 可以換新 token,出事時可撤銷。問題係,一旦攻擊者手上有一組長命 refresh token,同埋 WorkDrive 檔案權限,佢就唔一定要自己架 server。企業 IT 淨係靠網域 allowlist 或「呢個係公司用開嘅 SaaS」去放行,會睇漏 endpoint 上邊個 process 喺叫 API、點解非瀏覽器程序突然 POST 去 OAuth token endpoint。

香港公司可以點睇

呢單案暫時冇講香港受害者,唔好硬拉成本地事件。但係香港公司同公營機構大量用 Microsoft 365、Google Workspace、Zoho、Dropbox 呢類雲端協作,實際防守邏輯一樣:proxy 記錄要分清 browser、同步 client、Office add-in,同陌生 exe 嘅 API 流量;EDR 要睇合法 exe 載入罕見 DLL、Run key、scheduled task、C:\ProgramData\IDM\logs\、%LOCALAPPDATA%\Microsoft\VaultCache\ 呢類落點;OAuth app 要有人定期清理,冇人認領嘅 refresh token 直接 revoke。

下次要睇咩

Acronis 報告入面有一堆 IOCs,包括 couldinstallup.com、幾個 User-Agent、Zoho OAuth token endpoint、WorkDrive upload API、Run key 名稱同 sideloading 組合。呢啲唔應該只貼入 SIEM 就算,因為下一輪攻擊可能換 SaaS、換 token、換 DLL 名。比較貼地嘅做法,係建立「邊個 process 可叫邊個 SaaS API」嘅基線;當非瀏覽器 exe 開始同雲端檔案服務講嘢,就算域名合法,都要拉出嚟查。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook