圖片來源: 

Avast

安全研究人員發現去年9月的中國全國運動會(全運會)舉行前,遭一群不知名的駭客駭入一臺伺服器,植入後門程式暗中蒐集資訊,不過主辧單位及時發現並清除。

中國全運會於2021年9月15日在陝西省舉行,當時全運會IT部門公布一份報告,指其在大會前遭到攻擊,不過也在會前發現並予以清除。Avast研究人員David Álvarez隨後結合蒐集到的惡意程式樣本,但由於資訊不足而無法確認來源,僅能判斷可能是以中文為母語,或是精通中文的人士所為。

分析顯示,攻擊者於8月底到9月初展開行動。他們先是利用網站伺服器的漏洞來存取系統,並上傳不同檔案型態及同一主檔名、不同副檔名的檔案,像是ico、lua、js、luac、txt、html及rar等,以釐清伺服器允許和封鎖的檔案型態。之後他們開始上傳PoC而非真正的濫用程式,這是因為PoC較隱匿且可測試可行的惡意程式碼。攻擊者上傳偽裝成圖檔像是JPG及PNG檔,在網站上測試不同web shell及上傳惡意組態檔。

最後,攻擊者在伺服器上執行Tomcat伺服器,並且以中國常見的webshell Rebeyond Behinder武裝化。他們也成功上傳漏洞掃描工具fscan、mssql-command-tool、dnscrypt-proxy,以及單一點擊的濫用框架。透過fscan及濫用框架,駭客只要輸入一個或一群IP位址,即可自動化執行所有濫用步驟。

研究人員分析,這工具包含支援多種網路軟體(如IBM、JBoss、Outlook、BIG-IP、Tomcat)、服務(ssh、smb、redis、mysql、mssql、FTP),以及可暴力破解密碼的元件,他們相信這讓攻擊者得以駭入同一網路下的所有電腦系統。

大型賽事引來駭客攻擊不是新鮮事。去年東京奧運期間,東奧官網及網路共遭遇4.5億次網路攻擊,規模是倫敦奧運的2倍。此外也有假冒東京奧運文件的惡意軟體Wiper以攻擊日本用戶。

熱門新聞

Advertisement