資安業者賽門鐵克揭露勒索軟體RA World去年11月下旬的攻擊行動,駭客針對南亞一家中型軟體服務公司下手,過程中疑似利用Palo Alto Networks防火牆作業系統PAN-OS的已知漏洞CVE-2024-0012,並透過Veeam備份伺服器、AWS S3儲存桶竊得資料,最終將電腦的檔案加密,並留下勒索信,要求在3天內支付100萬美元,若是超過期限,贖金將會加倍為200萬美元。
值得留意的是,過程中攻擊者使用的作案工具裡,包含中國駭客經常利用的惡意程式PlugX,而且,駭客濫用Toshiba的執行檔toshdpdb.exe側載惡意DLL檔案,因而引起研究人員的注意。
過去該名駭客組織主要從事網路間諜攻擊行動,並試圖藉由植入後門來持續在目標組織活動,因此,這起突然轉為勒索軟體攻擊的資安事故並不尋常,根據調查的結果,研究人員推測很有可能駭客組織旗下成員私自發起,意圖透過勒索軟體牟利。
賽門鐵克威脅獵捕團隊於去年7月至今年年初,發現這些駭客的攻擊行動,他們最早在7月看到歐洲東南國家的外交部遭到攻擊,攻擊者就是利用上述的Toshiba執行檔側載惡意DLL檔案,而這個DLL檔的功能就是載入PlugX。根據PlugX的外掛程式時戳,此版本的PlugX與Palo Alto Networks揭露的變種Thor PlugX相同,所以,這起事故可能與中國駭客組織稱為Mustang Panda(又名Earth Preta)有關。
值得一提的是,上述的PlugX與趨勢科技去年2月揭露Earth Preta的攻擊行動當中,有兩個共通點:所用的作案工具搭配相同的RC4金鑰,而且組態的結構雷同。
後來賽門鐵克於去年8月、9月,以及今年1月,發現相同的PlugX攻擊行動,對象涵蓋歐洲東南、東南亞國家的政府機關,以及電信業者。
研究人員進一步掌握這些駭客使用勒索軟體的證據。在過往RA World的攻擊行動裡,資安業者Palo Alto Networks指出是被稱為Bronze Starlight、Emperor Dragonfly中國駭客所為,因為過程裡運用名為NPS的代理伺服器工具;而這些駭客使用勒索軟體有前例可循──在此之前,資安業者Sygnia、SentinelOne指出,駭客曾使用Night Sky、Cheerscrypt、LockFile、AtomSilo、LockBit 2.0。
究竟專門從事網路間諜攻擊的駭客為何會投入勒索軟體攻擊?賽門鐵克表示,中國駭客不像北韓駭客會藉由勒索軟體籌措營運的資金,但這些駭客相當認真向受害組織勒索,似乎不像是用來掩蓋其他的攻擊行動。研究人員推測,很有可能是駭客組織旗下的成員單獨行動,利用雇主的工具賺外快。
熱門新聞
2025-02-17
2025-02-17
2025-02-17
2024-11-05
2025-02-12
2025-02-18