2025世界博覽會即將於下個月在日本大阪市舉辦,但在此之前傳出中國駭客想要藉此攻擊與會歐洲外交單位的情況。
資安業者ESET於去年8月偵測到中國駭客組織MirrorFace的攻擊行動,主要目標是想要參與世界博覽會的中歐外交機構。研究人員指出,這些駭客過往長期針對日本而來,這是他們首度看到攻擊歐洲相關單位的情況。這波攻擊延續去年該公司揭露的攻擊行動Operation AkaiRyū,但戰略、手段、流程(TTP)有所調整,包含使用自製的AsyncRAT變種、來自另一個中國駭客組織APT10的惡意程式Anel(也被稱做UpperCut),並採用更為複雜的攻擊步驟。
針對這些駭客的攻擊流程,ESET指出MirrorFace先是使用精心製作的電子郵件接觸目標,試圖引誘收信人開啟惡意附件來觸發攻擊鏈,從而在受害電腦部署惡意程式。研究人員提及,這些駭客首度使用AsyncRAT,並於受害電腦的Windows沙箱執行,企圖掩蓋這支惡意程式的行蹤,使得受害組織難以偵測遭到入侵的跡象。
另一方面,這些駭客也濫用開發工具Visual Studio Code(VS Code),建立遠端隧道機制,從而秘密地存取受害電腦,執行任意程式碼,或是傳送其他作案工具。
附帶一提的是,這些駭客採用後門程式Anel,這樣的現象也加深MirrorFace與APT10之間的關聯,研究人員推測,發動攻擊的組織很有可能是APT10旗下的團體。
此外,MirrorFace也部署另一個後門程式HiddenFace,以便在Anel遭到破壞時仍能持續存取受害電腦。但特別的是,這些駭客過往使用的LodeInfo,並未在這波攻擊行動出現。
熱門新聞
2025-03-17
2025-03-17
2025-03-18
2025-03-18
2025-03-17
2025-03-17
