3月初美國司法部針對中國資安業者安洵(i-Soon)員工進行制裁,原因是這些人是中國政府從事全球網路間諜活動的打手。如今資安業者ESET指出,被稱為Earth Lusca、TAG‑22、Aquatic Panda、FishMonger的駭客組織,於2022年從事的攻擊行動Operation FishMedley,背後主導的幕後黑手就是安洵。
針對這波攻擊行動,ESET指出駭客針對亞洲、歐洲、美國的政府機關、非政府組織(NGO),以及智庫的垂直產業下手,透過中國駭客經常運用的惡意程式屢屢犯案,這些工具包括:ShadowPad、SodaMaster、Spyder。
研究人員彙整這些駭客自2022年1月至10月從事的7起攻擊事故,分別針對臺灣政府組織、匈牙利天主教組織、土耳其、泰國政府組織、美國天主教慈善機構、美國非政府組織,以及法國地緣政治智庫,而這些對象全數都是中國政府感興趣的目標。
究竟這些駭客如何取得初始入侵管道?ESET表示無法確認,但大多數情況當中,他們看到駭客取得內部網路的特殊權限,其中一種是網域管理員的帳密。此外,攻擊者也有透過管理主控臺散布惡意軟體的情況,或是利用網路滲透工具Impacket來進行橫向移動。
針對駭客使用的惡意程式,ESET提及Earth Lusca使用的ShadowPad具有共通特徵,那就是經由ScatterBee打包處理,而這是該組人馬作案的重要特徵。Earth Lusca透過PowerShell、Firefox下載偽裝成Adobe Flash的惡意程式載入工具,並濫用舊版Bitdefender元件側載ShadowPad。
這些駭客也在其中一起事故使用Spyder後門程式,駭客部署ShadowPad後,隨即下載專門載入Spyder的工具,並透過AES-CBC演算法解開下載的有效酬載。
另一個駭客使用的惡意軟體SodaMaster,只能在記憶體內解密、運作,最早採納的駭客組織是APT10,但Earth Lusca後來也開始運用,也代表該惡意程式已在多組中國駭客組織之間進行流通。
根據上述調查結果,加上駭客運用一系列的已知惡意程式作案,ESET認為,Earth Lusca是安洵旗下的其中一個團隊。
