賽門鐵克：駭客組織對東亞企業發動間諜攻擊，臺灣公司也受害

博通（Broadcom）旗下的賽門鐵克發現一起全球網路間諜攻擊，包括臺灣、中國、日本與美國許多企業受害。

賽門鐵克的威脅搜捕小組觀察到的駭客組織名為Palmerworm，又名BlackTech。這個組織2013年開始活動，而最新這波攻擊始於2019年，並一直持續到今年，目標遍及媒體、建築、工程、電子及金融業，而目標集中於東亞，研究人員觀察到，臺灣有媒體、電子及金融業受害，其他受害者包括日本一家工程公司及中國的建築業公司，以及一家不知名的美國公司。臺灣法務部調查局認為Palmerworm/Blacktech為中國駭客組織。

賽門鐵克指出，在近兩年的攻擊中，Palmerworm結合、自製惡意程式及兩用工具（dual-use tools）及離地攻擊（living-off-the-land, LOTL）手法。研究人員觀察到Palmerworm這波使用的幾種後門程式、下載器（loader）及網路偵察工具都是之前未見過的，可能是其新開發，或是以舊工具改造而來。但是他們更厲害的是運用了Putty、PSExec、SNScan、WinRAR這類兩用工具（dual use tools）進行離地攻擊。

所謂兩用工具，即本身是可運行在電腦中的合法工具，但可被功力高強的APT組織用來發動攻擊。此類攻擊讓攻擊者不需另外撰寫惡意程式，因其工具的合法特性不易被使用者或安全工具偵測，也更難被追蹤和特定組織的關聯性。

在Palmerworm的例子中，WinRAR可用來把竊取的文件壓縮傳送出去，利用微軟的PSExec工具在受害者網路上橫向移動，或以Putty建立遠端存取將資料傳到外部伺服器。

此外，研究人員還觀測Palmerworm使用竊來的已簽章憑證來簽發其攻擊程式，使安全工具更難偵測到。2018年安全公司ESET即發現本地兩家公司的憑證為Plamerworm/Blacktech竊取。

利用這類隱蔽手法，使Palmerworm得以在目標企業網路潛伏許久。例如受害的台灣媒體公司從去年8月被植入惡意程式，直到今年9月才被發現。而臺灣金融服務業的受害期間，則從去年8月到今年3月初。

目前Palmerworm仍然持續活動中，賽門鐵克也提供了其使用的惡意程式Consock、Waship、Dalwit、Nomri、Kivars及Pled使用的入侵指標（IoC）供企業資安部門參考。