中國駭客APT41使用惡意程式搜刮雲端憑證，範圍涵蓋AWS、GCP、Azure、阿里雲

資安公司Breakglass指出，他們發現APT41近期打造的ELF後門程式，鎖定建置在AWS、GCP、Azure、阿里雲的Linux雲端工作負載，該後門程式使用郵件通訊協定SMTP常用的25埠建立C2通訊，收集雲端服務供應商的憑證與中繼資料，然後將竊得資料傳送到3個冒充阿里巴巴的網域，這些主機架設於阿里雲新加坡的基礎設施。值得留意的是，尚無VirusTotal納入的防毒引擎將後門程式視為有害，再加上駭客導入的C2交握驗證機制，使得Shodan、Censys等物聯網搜尋引擎難以識別受害的工作負載。

究竟此後門會收集哪些資料？首先，駭客會從AWS查詢身分識別與存取管理（IAM）的角色憑證，接著，他們從GCP的中繼資料伺服器挖掘服務帳號的權杖（Token），並讀取應用程式的預設憑證。

針對Azure的部分，駭客會查詢實體中繼資料服務（Instance Metadata Service，IMDS）端點的內容，取得代管的身分識別權杖並讀取設定檔；至於阿里雲，他們會查詢Elastic Compute Service（ECS）的中繼資料，搜刮資源存取管理（Resource Access Management，RAM）的角色憑證，以及命令列介面（CLI）的組態。

上述所有竊得的憑證，後門程式都會搭配寫死的（hardcoded）AES-256金鑰進行加密處理，再外傳到攻擊者控制的網域。

值得留意的是，這次駭客不再使用HTTPS進行C2通訊，而是刻意採用SMTP常見的連接埠。Breakglass指出，原因可能是雲端環境通常會提供電子郵件服務，因此25埠的流量往往會被視為正常，再加上許多資安工具不會深入檢查SMTP流量，以及各家雲端服務廠商對於25埠出口流量過濾做法不一致，使得相關活動難以被察覺。

Breakglass提及C2伺服器實作選擇性交握機制，只有初始的EHLO字串包含來自用戶端提供的有效權杖，才會進行連線，否則就會傳送標準的SMTP橫幅（SMTP Banner）以及表達傳遞成功的狀態訊息220之後關閉連線。這代表物聯網搜尋引擎只會偵測到普通的SMTP伺服器，自動威脅情報平臺不會將IP位址標記為有問題。

APT41打造Linux惡意程式並非首例，最早可追溯到6年前的Pwnlnx，後續他們於2023年打造具雲端識別能力的KeyPlug，隔年又改進迴避偵測的能力，並首度具備雲端中繼資料收集的能力。由此看來，該組織致力讓Linux版後門成為雲端原生的惡意程式，從早期的基本反向Shell，已經發展成具備專屬的雲端憑證收集工具。