資安業者賽門鐵克揭露中國駭客組織鎖定特定亞洲國家電信業者的網路間諜活動,這些駭客在受害公司的網路環境植入後門程式,並試圖竊取各式帳密資料。

研究人員指出,對方的攻擊行動至少可追溯至2021年,不過,他們掌握2020年已有部分活動的證據。而對於攻擊目標的部分,雖然駭客主要是鎖定電信業者,但是也有提供電信業者服務的公司,以及另一個國家的大學受害。

究竟對方的目的為何,研究人員表示並不清楚,但很有可能是為了收集特定國家的電信行業情報,甚至進行監聽,也不排除對當地關鍵基礎設施進行破壞;而對於攻擊者的身分,他們也推測有幾種可能,有可能是多組人馬進行合作,或是不約而同發動攻擊;也有可能是未被發現的駭客組織出手,並使用其他團隊提供的作案工具犯案。

針對駭客使用的作案工具,研究人員提及3個後門程式Coolclient、Quickheal、Rainyday,其共通點是和中國駭客組織有所關連,但究竟這些駭客如何運用這些後門程式,研究人員並未進一步說明。

其中,Coolclient與中國駭客組織Mustang Panda(也稱做Earth Preta)有關,駭客將影音播放程式VLC Media Player的主程式,偽裝成Google應用程式的更新工具(googleupdate.exe),然後使用側載的方式執行惡意程式載入工具,從而解密Coolclient,並注入winver.exe的處理程序執行。

另一個名為Quickheal的後門程式,則與名為Neeedleminer(或叫做RedFoxtrot、Nomad Panda)的中國駭客組織有關。對方使用的版本,是名為RasTls.dll的32位元檔案,大致與資安業者Recorded Future在2021年公布後門程式的相同,主要差異是編譯組態不同,並使用VMProtect進行程式碼混淆處理。

第3個後門程式Rainyday,過往曾有名為Firefly(Naikon)中國駭客組織使用。在這起攻擊行動當中,駭客多半濫用防毒軟體F-Secure的主要元件fsstm.exe,以側載的方式啟動惡意程式載入工具,而該工具企圖挾持可執行檔使用的記憶體位置,藉由該執行檔載入特定檔案,用來解開惡意酬載並以Shell Code的模式執行。

特別的是,雖然駭客濫用F-Secure防毒軟體的元件,但部分版本的惡意酬載,卻是用卡巴斯基實驗室的無效憑證簽署。此外,研究人員也看到濫用其他應用程式執行檔來進行寄生攻擊(LOLBin)的情況。

熱門新聞

Advertisement