中国罗宇黑客利用旁人攻击部署WinDealer后门

观察到一个名为“罗宇”的“极其老练”的说中文的高级持续性威胁 (APT) 演员使用名为WinDealer的恶意 Windows 工具，该工具通过人对侧攻击的方式传递。

俄罗斯网络安全公司卡巴斯基（Kaspersky）在一份新报告中表示：“这一突破性的发展允许参与者修改传输中的网络流量，以插入恶意有效载荷。”“这种攻击尤其危险和具有破坏性，因为它们不需要与目标进行任何交互就可以成功感染。”

罗宇自2008年以来一直活跃，其目标组织主要是在中国设立的外国外交组织、学术界成员以及金融、国防、物流和电信公司。

2021年1月，台湾网络安全公司TeamT5在日本安全分析师会议（JSAC）上首次记录了罗宇对WinDealer的使用。随后的攻击活动使用该恶意软件针对日本实体，奥地利、德国、印度、俄罗斯和美国报告了孤立感染。

其他在这家鲜为人知的对手的恶意软件库中占据显著地位的工具包括PlugX及其继任者ShadowPad，这两种工具都被中国的各种威胁行为体用来实现其战略目标。此外，已知参与者的目标是Linux、macOS和Android设备。

就WinDealer而言，它过去是通过充当水坑的网站交付的，并以木马程序的形式伪装成即时消息和视频托管服务，如腾讯QQ和优酷。

但感染媒介后来被换成了另一种分发方法，这种方法利用选择合法应用程序的自动更新机制，在“罕见的情况下”为受损版本的可执行文件提供服务

WinDealer是一个以模块化恶意软件平台为核心的平台，它提供了与传统后门相关的所有常见功能，允许它浏览敏感信息、捕获屏幕截图和执行任意命令。

但它的另一个与众不同之处在于，它使用了一种复杂的IP生成算法，从48000个IP地址池中随机选择要连接的指挥与控制（C2）服务器。

该公司表示：“解释这些看似不可能的网络行为的唯一方法是假设存在一个能够拦截所有网络流量甚至在需要时进行修改的旁人攻击者。”

与中间人攻击类似，中间人攻击使恶意入侵者能够读取任意消息并将其注入通信信道，但不能修改或删除其他方发送的消息。

此类入侵通常依赖于对其消息进行战略性定时，以便在服务器实际响应之前，根据受害者对web资源的请求，发送包含攻击者提供的数据的恶意回复。

卡巴斯基指出，威胁参与者能够控制如此大范围的IP地址，这一事实也可以解释为什么与真正的应用程序相关的更新机制被劫持，以交付WinDealer负载。

安全研究员Suguru Ishimaru说：“旁人攻击具有极大的破坏性，因为攻击设备的唯一条件是连接到互联网。”

“无论攻击是如何进行的，潜在受害者自卫的唯一方法是保持高度警惕，并拥有健全的安全程序，如定期进行防病毒扫描、分析出站网络流量和广泛的日志记录以检测异常。”