華爾街日報自9月底開始,多次針對中國駭客組織Salt Typhoon(也被稱為Earth Estries、GhostEmperor、FamousSparrow)攻擊美國電信業者的情況進行報導,受害業者包含AT&T、Lumen、T-Mobile、Verizon,傳出美國政府已著手調查此事,而且,這些駭客的目標還包含其他國家的電信業者。但究竟這些駭客如何發動攻擊?最近有研究人員公布調查結果。
資安業者趨勢科技指出,根據他們自2020年開始的追蹤,這些駭客持續針對政府機關及網際網路服務供應商(ISP)進行長期攻擊,並指出2022年也開始針對電信公司。研究人員認為,駭客從事攻擊行動的目的,是為了更有效收集相關情報。
他們發現對方主要鎖定的標的,包含電信公司使用的資料庫、雲端伺服器等重要服務,以及服務供應商的網路環境,駭客會試圖植入名為Demodex的rootkit程式,目的是希望藉此增加存取受害電信業者的管道。
在近期攻擊東南亞電信業者的事故裡,這些駭客使用多款後門程式,其中包含未被揭露的GhostSpider、模組化的SnappyBee(Deed RAT)、跨平臺的Masol RAT。根據他們的追蹤,駭客的攻擊行動,根據鎖定的產業類型,大致上可區分為兩種類型Alpha、Beta,其中的Beta攻擊是針對電信業者及政府機關而來。
無論是那一種攻擊行動,駭客取得初始入侵管道的方法,主要都是針對曝露於網際網路的應用程式伺服器,並利用已知漏洞來達到目的,這些包含Ivanti Connect Secure漏洞CVE-2023-46805和CVE-2024-21887、FortiClient EMS的SQL注入漏洞CVE-2023-48788、Sophos防火牆漏洞CVE-2022-3236,以及ProxyLogon(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)。
在Beta攻擊行動裡,駭客初期利用網頁伺服器或是ProxyLogon,取得相關帳密然後控制目標電腦。
接著,他們主要使用Demodex長期埋伏於受害組織的網路環境,在近期的攻擊行動裡,對方透過DLL挾持手法載入GhostSpider,此後門程式使用TLS通訊協定,從C2接收藏匿於HTTP標頭及cookie的命令,而能將攻擊流量混入合法流量。
而對於攻擊行動Alpha的部分,研究人員提及是針對臺灣的政府機關及化學公司而來,駭客從C2伺服器下載惡意工具,並透過寄生攻擊進行橫向移動。
熱門新聞
2024-11-25
2024-11-25
2024-11-15
2024-11-15
2024-11-28
2024-11-14