博通旗下的資安部門Symantec於本周揭露,中國駭客集團Antlion自2020年12月開始滲透臺灣的金融組織與製造業組織,迄今已知有3家業者受害,Antlion使用了大量的惡意程式,其中主要為xPack後門程式,藉以執行系統命令、載入更多惡意程式或竊取資訊,應屬間諜行動,且Antlion持續攻擊臺灣金融組織至少長達18個月之久。

Symantec發現Antlion攻擊了兩家金融組織與一家製造業組織,潛藏在其中一家金融組織的時間接近250天,也在受害的製造業組織中蟄伏了175天。

研究人員目前尚不知駭客的感染途徑,猜測可能是開採了受害組織的網頁應用程式或服務,或者是透過惡意郵件當作進入受害組織的跳板。

在此一針對臺灣的攻擊行動中,Antlion採用了大量的客製化與現成工具,主要為客製化的xPack後門程式,它能夠執行系統命令、載入其它惡意程式與工具,還能竊取資料,其它還包括EHAGBPSL、JpgRun與CheckID等下載器,以及SMB期間枚舉工具NetSessionEnum、可用來偽造用戶的Golden Ticket工具。

現成的工具則涵蓋PowerShell、WMIC、ProcDump、LSASS與PsExec,同時濫用AnyDesk遠端存取工具,並開採CVE-2019-1458權限擴張漏洞,或是藉由開採WinRAR來竊取資料。Antlion所蒐集的資料包括業務聯絡人、投資及智慧卡讀卡機等。

Symantec指出,最受矚目的是Antlion待在這些受害網路的時間很長,因而能夠長期地蒐集受害者的機密資料,只是中國駭客選擇臺灣作為攻擊目標並不令人意外。

熱門新聞

Advertisement