信息来源:EastWind campaign distributes CloudSorcerer and two APT tools | Securelist (2024年8月14日)
在东欧与中亚的地缘政治风暴眼中,一只名为 EastWind 的网络“猛禽”已悄然盘旋多年。这个自2017年起活跃的APT组织,长期以乌克兰、俄罗斯、白俄罗斯、哈萨克斯坦等国的政府、军事、能源与外交机构为目标,执行高度针对性的网络间谍活动。近期,卡巴斯基最新研究揭示,EastWind正经历一次显著的技术跃迁——其攻击链从早期的简单钓鱼,演变为融合地理定位、供应链投毒与内存驻留的复合型作战体系。
更令人警惕的是,该组织正利用一种名为“数字罗盘”(Digital Compass)的战术,精准锁定处于特定地理位置的高价值目标,展现出前所未有的攻击精度。
一、攻击升级:从广撒网到“地理围猎”
EastWind的攻击始于经典的鱼叉式钓鱼邮件,但其社会工程策略已从“广撒网”转向“精准围猎”。
1. 高度定制化诱饵
- 邮件内容常模仿政府公文、军事通知、能源合同或外交备忘录;
- 附件多为DOCX、XLSX或ZIP文件,文件名与目标机构近期公开活动高度相关;
- 例如:一份针对乌克兰能源公司的钓鱼文档,内容直接取自其官网发布的招标公告。
2. “数字罗盘”:基于地理位置的攻击过滤
EastWind在攻击链中引入了多层地理过滤机制,确保仅在特定国家或地区的设备上激活恶意载荷:
- 第一层:URL短链重定向
恶意链接通过Bitly、TinyURL等服务缩短,并配置GEO规则:仅当访问者IP位于乌克兰、哈萨克斯坦等目标国时,才跳转至恶意服务器。 - 第二层:DNS解析劫持
攻击者注册与政府机构高度相似的域名(如gov-ua[.]security),并通过CDN服务实现基于地理位置的DNS响应。 - 第三层:客户端环境检测
下载的VBS或JS脚本会检测系统语言、区域设置、时区等,若不符合预设条件(如非俄语/乌克兰语环境),则终止执行。
这一“三重过滤”机制极大提升了攻击的隐蔽性,使其长期逃避全球安全监测。
二、感染链解析:从RTF漏洞到内存注入的全流程渗透
1. 初始感染:CVE-2017-11882的“老将新用”
- 攻击者仍偏爱 CVE-2017-11882(Office内存破坏漏洞),通过恶意RTF文件触发;
- Shellcode加载后,调用
RunHTMLApplication函数执行嵌入的JavaScript; - 该JS脚本负责下载下一阶段载荷,并具备反沙箱能力:
- 检测内存小于2GB则退出;
- 非Intel/AMD CPU则自毁;
- 若存在
dotnetlogger32.dll(常见于分析环境)则终止。
2. 第二阶段:.NET下载器与持久化部署
- JavaScript加载名为
App.dll的.NET下载器; App.dll收集安全软件信息(特别关注Kaspersky、Avast);- 根据检测结果,选择不同路径:
- 若无主流杀软,直接下载最终载荷;
- 若存在Kaspersky,则改用
wscript.exe绕过执行。
3. 最终载荷:新型后门“CompassRAT”现身
卡巴斯基在2024年首次捕获EastWind主力后门 CompassRAT,其特点包括:
- 纯内存运行:全程驻留内存,不写入磁盘;
- 模块化架构:支持动态加载插件,功能按需启用;
- C2通信伪装:通过Google Translate、OneDrive等合法服务代理流量。
0x8A | GeoLogger | 记录目标设备GPS坐标(若为笔记本)与IP地理位置 |
0x90 | DocSniffer | 监控特定目录,自动窃取.docx,.xlsx,.pdf等文件 |
0x94 | NetSpy | 扫描内网,绘制网络拓扑图 |
0x98 | RDPJack | 注入mstsc.exe,窃取远程桌面凭据 |
0x9C | UACBypass | 绕过用户账户控制,提升权限 |
三、供应链攻击新变种:篡改政府软件更新程序
2024年初,EastWind被发现针对哈萨克斯坦某政府部门的内部管理系统发起供应链攻击。
攻击者成功入侵该部门的软件更新服务器,并在其发布的“安全补丁包”中植入恶意代码。该补丁本应用于修复已知漏洞,但实际包含一个伪装成updater.dll的后门。
一旦用户安装,该DLL会:
- 通过DLL侧加载(DLL Sideloading)注入到合法程序(如
vssvc.exe)中; - 创建名为
SystemUpdateService的Windows服务,实现持久化; - 定期连接C2服务器,接收指令并上传窃取数据。
此事件标志着EastWind已从单纯的网络渗透,转向对信任链与更新机制的深度破坏。
四、横向移动:滥用合法工具实现“隐身跳跃”
在成功立足后,EastWind利用多种Living-off-the-Land(LotL)技术进行横向移动:
1. PsExec滥用
- 使用合法的
PsExec工具远程执行命令; - 命令行参数加密,通过Base64+XOR编码隐藏真实意图。
2. WMI永不下线
- 通过WMI事件订阅实现持久化,即使重启也能自动激活;
- 利用
CommandLineEventConsumer监听特定进程启动事件,触发恶意代码。
3. RDP会话劫持
- 利用
tscon.exe命令将已登录的RDP会话切换至后台,避免用户察觉; - 攻击者可长期保持连接,进行静默操作。
五、基础设施特征:伪装成政府与科技公司的C2网络
EastWind的C2基础设施极具迷惑性,攻击者注册大量域名,并使用与政府或科技公司高度相似的子域名:
update-gov-ua[.]securitysupport-mfa-gov[.]infocloud-office-drive[.]livemicrosoft-updates[.]biz
这些域名多由Namecheap、Hostinger等主流注册商提供,C2服务器则部署在短期租赁的VPS上,生命周期短,追踪困难。
更值得注意的是,部分C2通信通过Google Drive、Dropbox等云存储实现,指令与数据均加密存储,极难被发现。
六、归因分析:数字指纹锁定EastWind
尽管攻击工具不断更新,但EastWind的“数字DNA”依然清晰:
- 目标一致性:长期聚焦东欧与中亚政府及军方;
- TTPs延续性:始终依赖CVE-2017-11882 + .NET下载器 + 内存驻留模式;
- 基础设施重叠:部分域名与此前SideWinder、TetrisPhantom等组织使用的注册商和服务商相同;
- 地理过滤逻辑:与BlindEagle、Awaken Likho等组织相似,但更精细化。
综合判断,卡巴斯基以中高置信度确认此次攻击归属于EastWind组织。
七、防御建议:应对EastWind的五大关键措施
- 禁用或限制远程管理工具:对PsExec、WMI远程执行等操作实施严格审计;
- 监控计划任务与WScript执行:阻止
wscript.exe、mshta.exe从临时目录运行; - 加强邮件网关过滤:识别包含RTF、VBS脚本的附件;
- 启用应用白名单与ASR规则:防止未签名程序执行;
- 部署EDR与网络流量分析:检测异常的地理访问、内存注入与C2通信。
结语:低调的威胁,致命的后果
EastWind的案例再次证明:最危险的APT组织,未必使用最复杂的漏洞,而是最擅长利用“信任”与“位置”。他们不开发零日exploit,却能将一个普通RTF文件变成贯穿数年的间谍通道。
从地理过滤到供应链投毒,从内存驻留到云C2,这场持续七年的“东欧暗影”提醒我们:在网络安全中,持久性比技术炫技更重要,耐心比漏洞更致命。
“他们不需要被看见,只要能一直留在你的系统里。”
——来自对EastWind的深度观察