過往駭客主要針對Windows電腦下手,但最近兩到三年,他們將攻擊範圍擴及其他作業系統的情況越來越普遍,有駭客組織使用跨平臺開發工具,打造出針對macOS、安卓作業系統的惡意程式。
例如,資安業者賽門鐵克揭露中國駭客組織Evasive Panda(他們稱為Daggerfly)開發的macOS惡意程式,就是這樣的例子。他們針對最近一波的攻擊行動提出警告,指出對方近期針對臺灣企業組織、位於中國的美國非政府組織(NGO)使用新的作案工具從事網路間諜活動,過程中利用Apache HTTP伺服器的漏洞散布惡意軟體框架MgBot。
研究人員指出,這些駭客擅長使用MgBot框架,並持續加入新功能,他們在去年看到駭客在攻擊非洲電信業者的過程裡,採用新的外掛程式來增加危害。
但值得留意的是,他們發現名為Macma的macOS後門程式,也是這些駭客開發、使用的武器之一。這個後門程式最早在2021年由Google威脅情報團隊(TAG)揭露,並推測駭客2019年就開始使用,並濫用遭駭的香港網站發動水坑式攻擊,來散布這支後門程式。
其中,研究人員提及駭客在水坑式攻擊利用的弱點,不光影響Mac電腦,也會影響iOS裝置,其中一個被利用的是權限提升漏洞CVE-2021-30869(CVSS風險評分為7.5),一旦Mac電腦尚未修補這項漏洞,對方就有機會藉此植入後門程式。
基本上,Macma也是模組化的惡意程式,主要的功能收集裝置指紋資料、執行命令、截取螢幕畫面、側錄鍵盤輸入內容、截取電腦聲音,並能讓攻擊者上傳或下載檔案。但研究人員在最新的版本當中發現,駭客加入了多項調整與改進,這突顯對該惡意程式極積開發的情形。
他們找到兩個新版的Macma進行研究、分析,並指出駭客採用Tree(可公開取得的Linux、Unix公用程式)為基礎開發新程式碼,調整收集檔案系統列表的邏輯;再者,則是改良AudioRecorderHelper功能的程式碼,並加入新的功能參數及除錯事件記錄。此外,對方也加入名為param2.ini的檔案,設置截取螢幕畫面的相關參數。
究竟如何察覺這支惡意程式與Evasive Panda有關?研究人員在分析的過程中發現,這些後門程式竟然連線到IP位址是103.243.212[.]98的C2伺服器,而其中一款MgBot惡意程式載入工具也使用該伺服器進行通訊。
經過程式碼的比對,他們發現Macma與MgBot及其他該組織使用的惡意程式,共用相同的程式庫或框架開發而成。駭客使用這些程式庫及相關元件,跨平臺開發Windows、macOS、Linux、安卓版惡意程式。
他們舉出資安業者ESET今年3月揭露的Windows後門程式Nightdoor(也稱做NetMM、Suzafk)為例,研究人員確認這款惡意程式也是使用該駭客組織專屬的程式庫打造,這是多階段後門程式,能夠使用TCP協定或是透過OneDrive進行C2通訊。對方利用名為DAEMON Tools Lite Helper的虛擬光碟軟體公用程式將其載入,啟動過程濫用al-khaser專案的程式碼來檢測是否在虛擬機器或沙箱環境執行。
除了Nightdoor,研究人員也找到駭客針對其他作業系統的開發惡意程式的證據,並指出對方開發了安卓裝置應用程式的惡意安裝檔、簡訊攔截工具、DNS請求攔截工具,還有鎖定Solaris作業系統的惡意程式
熱門新聞
2024-09-02
2024-09-02
2024-09-06
2024-09-02
2024-09-02
2024-09-03
2024-09-04
2024-09-02