駭客鎖定以色列政府機關及企業組織，意圖散布以開源工具打造的惡意程式GrassHopper

駭客從事網路攻擊的過程裡，濫用開源的滲透測試工具的情況越來越常見，並且使得防守者識別攻擊行為難度隨之提升，甚至可能會無法與合法的滲透測試行為進行區別。

例如，資安業者HarfangLab在調查鎖定以色列政府、企業組織的攻擊行動過程裡，找到先前未曾揭露的可疑網域，攻擊者將其用於設置C2伺服器，但特別的是，這個網域存在的時間相當長，引起了研究人員的注意。

他們循線調查駭客在攻擊過程使用的相關工具，發現對方使用可公開的惡意軟體，也有部分作案工具是自行開發，相關攻擊行動具有高度針對性，他們散布惡意酬載的管道，是利用專門為目標基礎設施量身打造的WordPress網站，研究人員指出，這些攻擊仰賴開源的惡意軟體，影響範圍甚至擴及了不同領域的垂直產業。

針對上述的攻擊行動，研究人員懷疑是資安人員的滲透測試所致，但由於相關的攻擊基礎設施並未與市面上的滲透測試業者有關，因此他們認為應該向資安社群公布相關發現。

究竟對方如何發起攻擊？研究人員在其中2起發生在2023年11月的攻擊行動裡，發現對方疑似透過特別製作的WordPress網站，散布VHD虛擬磁碟檔案格式作為初始的有效酬載，駭客使用偷渡式下載（Drive-by Download）的手法，將VHD檔植入受害電腦。

一旦使用者將VHD檔案掛載，就會在磁區看到Windows捷徑檔案（LNK），該檔案含有看似圖片的圖示，開啟後就會執行設為隱藏屬性的HTML應用程式檔案（HTA），顯示誘餌圖片降低使用者的戒心，並啟動第一階段的惡意程式。

這個圖片內容含有以色列經濟及工業局的圖標，並以希伯來文寫著：假期驚喜！抱歉，你沒有贏。

駭客使用的第一個惡意程式是以程式語言Nim打造而成，主要的用途是下載第2階段的惡意軟體，此惡意軟體濫用GlobalSign的根憑證檔案啟動SSL連線，從遠端取得惡意檔案並在記憶體內執行。

而第2階段的惡意酬載是GrassHopper，研究人員指出是結合兩種開源的工具而成，檔案大小約為15 MB。而這些遭濫用的開源工具元件，分別是Shell Code生成框架Donut，以及滲透測試框架Sliver。

在GrassHopper初始化的階段，攻擊者會進行解碼處理及使用API雜湊值解析功能函數，然後竄改Windows安全防護機制反惡意軟體掃描介面（AMSI）及Windows鎖定政策（WLDP），阻礙受害電腦安裝的防毒軟體運作，最終對應（map）與執行嵌入的酬載。

究竟這起資安事故是攻擊行動還是合法的滲透測試？研究人員推測，很有可能是企業組織的滲透測試行為。

他們進一步指出，由於這場攻擊行動相當特別，不僅攻擊範圍相當有限，目標極為明確，而且，只有少量惡意程式檔案與之有關，這代表了對方僅進行極少量的入侵嘗試，這些現象皆與駭客的攻擊行為相當不同。

再加上駭客使用的工具鏈主要由開源工具組成，僅有初始的HTA檔案及Nim下載器為自行開發，並自行架設WordPress網站做為交付有效酬載的管道，但研究人員認為上述攻擊內容小型團隊就能執行。

不過，若是滲透測試行為，上述揭露的惡意酬載已實際被利用或是散布，卻沒有任何能直接佐證是資安業者執行滲透測試的證據，再加上佯裝成政府機關或是關鍵基礎設施的名義從事相關行為，可能會造成政治局勢緊張，並導致不必要的後果。因此，他們也無法完全排除是網路攻擊的行為。

但無論實際上是那一種行為，這起資安事故的發生，突顯攻擊者有許多現成、公開的攻擊框架工具可用，使得未來的資安調查及威脅分析工作變得更加困難，成為資安人員將要面臨的挑戰。