情境示意圖,Photo by Taskin Ashiq on unsplash

博通(Broadcom)旗下的賽門鐵克發現一起全球網路間諜攻擊,包括臺灣、中國、日本與美國許多企業受害。

賽門鐵克的威脅搜捕小組觀察到的駭客組織名為Palmerworm,又名BlackTech。這個組織2013年開始活動,而最新這波攻擊始於2019年,並一直持續到今年,目標遍及媒體、建築、工程、電子及金融業,而目標集中於東亞,研究人員觀察到,臺灣有媒體、電子及金融業受害,其他受害者包括日本一家工程公司及中國的建築業公司,以及一家不知名的美國公司。臺灣法務部調查局認為Palmerworm/Blacktech為中國駭客組織。

賽門鐵克指出,在近兩年的攻擊中,Palmerworm結合、自製惡意程式及兩用工具(dual-use tools)及離地攻擊(living-off-the-land, LOTL)手法。研究人員觀察到Palmerworm這波使用的幾種後門程式、下載器(loader)及網路偵察工具都是之前未見過的,可能是其新開發,或是以舊工具改造而來。但是他們更厲害的是運用了Putty、PSExec、SNScan、WinRAR這類兩用工具(dual use tools)進行離地攻擊。

所謂兩用工具,即本身是可運行在電腦中的合法工具,但可被功力高強的APT組織用來發動攻擊。此類攻擊讓攻擊者不需另外撰寫惡意程式,因其工具的合法特性不易被使用者或安全工具偵測,也更難被追蹤和特定組織的關聯性。

在Palmerworm的例子中,WinRAR可用來把竊取的文件壓縮傳送出去,利用微軟的PSExec工具在受害者網路上橫向移動,或以Putty建立遠端存取將資料傳到外部伺服器。

此外,研究人員還觀測Palmerworm使用竊來的已簽章憑證來簽發其攻擊程式,使安全工具更難偵測到。2018年安全公司ESET即發現本地兩家公司的憑證為Plamerworm/Blacktech竊取。

利用這類隱蔽手法,使Palmerworm得以在目標企業網路潛伏許久。例如受害的台灣媒體公司從去年8月被植入惡意程式,直到今年9月才被發現。而臺灣金融服務業的受害期間,則從去年8月到今年3月初。

目前Palmerworm仍然持續活動中,賽門鐵克也提供了其使用的惡意程式Consock、Waship、Dalwit、Nomri、Kivars及Pled使用的入侵指標(IoC)供企業資安部門參考。


熱門新聞

Advertisement