臺灣生技產業、製造業、IT業者要小心！傳出有駭客組織針對這些產業從事網路間諜行動

資安業者賽門鐵克揭露鎖定臺灣而來的網路間諜攻擊行動，過往未被揭露的APT駭客組織Grayling自今年2月至5月，針對臺灣的生物醫學產業、製造業、IT產業而來，但也有太平洋群島的政府機關、越南及美國的組織受害。

研究人員指出，攻擊者疑似利用曝露在網際網路的組織基礎設施，來存取目標電腦，在部分攻擊行動裡，他們看到駭客在電腦植入Web Shell。接著，攻擊者再利用DLL側載（DLL Side-loading）手法，於受害電腦載入滲透測試工具Cobalt Strike、後利用C2框架Havoc、間諜軟體NetSpy。此外，這些駭客也可能在下載及執行Shell Code的過程裡，利用Win32k元件漏洞CVE-2019-0803提升權限，運用Active Directory探查（discovery）的方式，描繪內部網路架構。

在大部分的攻擊行動裡，這些駭客透過名為SbieDll_Hook的輸出API來進行DLL側載，然後使用imfsb.ini解密及載入未知的惡意酬載，而且，攻擊者會在後期攻擊活動裡，下達kill processes的指令，停用所有列於processlist.txt的處理程序，然後下載Mimikatz來盜取帳密資料。

而在攻擊動機的掌握上，研究人員根據駭客的活動及使用的工具，排除經濟利益因素，對方活動的目的應該是情報收集，目前尚未看到資料外洩跡象。另一個值得留意的地方，則是這些駭客偏好使用公開工具作案，使得鑑識人員難以釐清攻擊者的身分。但駭客為何針對這些產業而來？研究人員並未進一步說明。