中國駭客集團以xPack後門鎖定臺灣金融與製造業

博通旗下的資安部門Symantec於本周揭露，中國駭客集團Antlion自2020年12月開始滲透臺灣的金融組織與製造業組織，迄今已知有3家業者受害，Antlion使用了大量的惡意程式，其中主要為xPack後門程式，藉以執行系統命令、載入更多惡意程式或竊取資訊，應屬間諜行動，且Antlion持續攻擊臺灣金融組織至少長達18個月之久。

Symantec發現Antlion攻擊了兩家金融組織與一家製造業組織，潛藏在其中一家金融組織的時間接近250天，也在受害的製造業組織中蟄伏了175天。

研究人員目前尚不知駭客的感染途徑，猜測可能是開採了受害組織的網頁應用程式或服務，或者是透過惡意郵件當作進入受害組織的跳板。

在此一針對臺灣的攻擊行動中，Antlion採用了大量的客製化與現成工具，主要為客製化的xPack後門程式，它能夠執行系統命令、載入其它惡意程式與工具，還能竊取資料，其它還包括EHAGBPSL、JpgRun與CheckID等下載器，以及SMB期間枚舉工具NetSessionEnum、可用來偽造用戶的Golden Ticket工具。

現成的工具則涵蓋PowerShell、WMIC、ProcDump、LSASS與PsExec，同時濫用AnyDesk遠端存取工具，並開採CVE-2019-1458權限擴張漏洞，或是藉由開採WinRAR來竊取資料。Antlion所蒐集的資料包括業務聯絡人、投資及智慧卡讀卡機等。

Symantec指出，最受矚目的是Antlion待在這些受害網路的時間很長，因而能夠長期地蒐集受害者的機密資料，只是中國駭客選擇臺灣作為攻擊目標並不令人意外。