文章提供:图文资通组
文章来源:https://ithome.com.tw/news/145573
发佈日期:2021.07.11    消息来源:iThome #资讯安全 #渗透测试 #网路钓鱼

根据资安威胁资料分析公司Recorded Future的消息,疑似由中国政府资助的骇客组织,锁定的目标涵盖臺湾、菲律宾、尼泊尔、香港,而且是针对电信业、学术界、研究与开发、政府组织而来,其中,工研院因为是臺湾产业研发重镇,成为最受瞩目的目标之一,而且对方发动的攻势当中,运用了正体中文求职履歷文件作为诱饵,求才若渴的臺湾学术机构、研发单位、政府组织,都必须提高警觉!
资安威胁资料分析公司Recorded Future在7月8日发布消息,指出他们追踪的第22号威胁活动团体(TAG-22),疑似是由中国政府资助的骇客攻击组织,目前正锁定尼泊尔、菲律宾、臺湾、香港等国家或地区的电信业、学术界、研究与开发、政府组织,伺机发动攻击。
根据他们最近观察到的相关活动来看,TAG-22这个骇客组织可能在初期渗透、攻入阶段,运用被侵入的Java EE应用伺服器GlassFish,以及红队模拟测试工具Cobalt Strike,之后转而使用特制的Winnti、ShadowPad、Spyder等后门程式,透过专属、由攻击者建立的命令与控制(C2)基础架构,作为长期存取目标的手段。
这系列活动之所以能够被揭露,主要是Recorded Future公司旗下的Insikt Group团队的功劳。他们结合被动的DNS资料,以及敌对C2侦测手法,以此探查Winnti、ShadowPad、Spyder等后门程式动态,而能追踪到TAG-22相关的网路基础架构与网域名称活动。
在今年6月期间,Recorded Future的团队基于网路流量资料分析结果,找到TAG-22入侵活动锁定的具体目标,分别是:臺湾的工研院、尼泊尔电信公司、菲律宾政府的资通讯科技局。
他们认为,上述机构是TAG-22入侵行动的最终目标,当中工研院是当中最需要关注的对象,主要是因为该组织是开创、培育多家臺湾高科技公司的科技研发机构,而且,工研院主推的计画涉及智慧居家、高品质医疗、环境永续,这些领域可对应到中国优先推动的十四五规划(第十四个五年规划),也是未来中国经济间谍活动努力的目标。另一个佐证则是,近年来,中国骇客组织也持续锁定臺湾多个半导体公司,企图获取程式原始码、软体开发工具与晶片设计。

前期是透过漏洞滥用攻占应用伺服器,部署渗透测试工具,再用后门程式对受害电脑执行长期控制
在分析这起目标锁定行动的过程中,Recorded Future还发现另一件事,那就是有几臺疑似被骇客攻佔的GlassFish伺服器,正与TAG-22经营的C2基础架构暗通款曲,进行网路通讯。而此事与最近NTT发布的Winnti调查报告有关,他们发现这个骇客组织滥用GlassFish伺服器软体3.1.2版的漏洞,随后攻佔系统、再从这里产生前进目标的入侵行动,例如,运用Acunetix弱点扫描工具软体,然后部署Cobalt Strike这类渗透测试工具。而这些都是本次入侵行动的早期阶段,接下来,会转进到另一种专属基础架构,也就是植入ShadowPad、Spyder、Winnti等恶意软体来进行控管。
为了让这个专属基础架构能在网际网路上存在、提供进行连线,Recorded Future发现,TAG-22所使用的网域名称,都是在Namecheap、Choopa/Vultr这几家虚拟主机代管业者註册的。

臺湾是恶意软体攻击目标,徵才机构或企业要小心!因为骇客以正体中文求职履歷文件作为钓鱼诱饵
在分析TAG-22经营的攻击基础架构之后,RecordedFuture也找到几个运用Cobalt Strike渗透的样本,而这些迹象,有可能是该骇客组织为了在目标环境建立初期据点,所习于採用的手法。
同时,他们还会使用特制的Cobalt Strike载入器,而在这当中,可基于几个样本里面存在的除错字串,找到这支恶意软体的作者名号:Fishmaster。
值得注意的是,在每个案例当中,都有个使用者出现在诱饵文件,TAG-22会运用恶意巨集去散播上述的Fishmaster载入器。根据Recorded Future列出的一个诱饵文件样本来看,这是一份以正体中文撰写的个人履歷文件,而由于这个骇客组织大范围锁定臺湾为目标,因此,Recorded Future认为,因为如此独特的诱饵,所以,显然臺湾的组织可能是此种攻击型态的目标。

前往页首