資安業者賽門鐵克揭露鎖定臺灣而來的網路間諜攻擊行動,過往未被揭露的APT駭客組織Grayling自今年2月至5月,針對臺灣的生物醫學產業、製造業、IT產業而來,但也有太平洋群島的政府機關、越南及美國的組織受害。

研究人員指出,攻擊者疑似利用曝露在網際網路的組織基礎設施,來存取目標電腦,在部分攻擊行動裡,他們看到駭客在電腦植入Web Shell。接著,攻擊者再利用DLL側載(DLL Side-loading)手法,於受害電腦載入滲透測試工具Cobalt Strike、後利用C2框架Havoc、間諜軟體NetSpy。此外,這些駭客也可能在下載及執行Shell Code的過程裡,利用Win32k元件漏洞CVE-2019-0803提升權限,運用Active Directory探查(discovery)的方式,描繪內部網路架構。

在大部分的攻擊行動裡,這些駭客透過名為SbieDll_Hook的輸出API來進行DLL側載,然後使用imfsb.ini解密及載入未知的惡意酬載,而且,攻擊者會在後期攻擊活動裡,下達kill processes的指令,停用所有列於processlist.txt的處理程序,然後下載Mimikatz來盜取帳密資料。

而在攻擊動機的掌握上,研究人員根據駭客的活動及使用的工具,排除經濟利益因素,對方活動的目的應該是情報收集,目前尚未看到資料外洩跡象。另一個值得留意的地方,則是這些駭客偏好使用公開工具作案,使得鑑識人員難以釐清攻擊者的身分。但駭客為何針對這些產業而來?研究人員並未進一步說明。

熱門新聞

Advertisement