【亞洲企業注意】新型間諜軟件利用Windows認可工具側載木馬病毒
Symantec 網絡安全團隊 Threat Hunter Team 最新捕捉到一項新的網絡間諜行動,專門攻擊亞洲區內涉及宇航、國防、電訊及IT行業的公司。雖然現階段團隊未能確認與哪一個國家級黑客集團有關,但其入侵手法卻值得留意。
由國家支援的黑客集團,一般會以竊取機密為目的,而 Symantec 今次從受害客戶入侵個案中所發現的便屬於此類,專家估計相關攻擊至少在 2021 年初啟動,主要針對亞洲區內的上述行業。專家以發生於今年四月其中一個個案為例,展示黑客入侵手法的精密。
整個攻擊起點,由黑客利用一個由羅馬尼亞軟件公司 Softwin 開發的 BitDefender Crash Handler 防病毒軟件套件開始。黑客利用它的漏洞在公司內部網絡載入一個 .dat檔案,執行其內裡的已加密 Shellcode,從而側載 (side-loaded) 一個惡意 DLL 檔案。在建立後門三日內,黑客再裝入另一個常用工具 ProcDump,擷取內部儲存的帳戶登入資料。除此之外,黑客又在同一安裝另一款滲透測試工具框架,讓他們可以潛伏在網絡內截取數據。在兩星期後,黑客再度裝入一款專門用於竊取帳戶資料的惡意軟件 Mimikatz。其後黑客可能發現了網絡內存在另一個已知漏洞,於是便提升了兩部電腦的權限,最終達到可隨意在 Active Directory 伺服器內儲存所有用戶資料及數據記錄檔案。
由於這款新的資料竊取工具 Infostealer.Logdatter 的功能創新,它的功能包括記錄鍵盤、屏幕截圖、讀取已連接 SQL 數據庫資料、插入惡意編碼、下載檔案及複製剪貼簿資料,因此專家未能將它與國家級黑客組織連繫起來。不過,因為今次攻擊使用了 Bitdefender 進行側載,而且又使用了一款同類型的鍵盤記錄套件,因此專家懷疑與中國黑客組織 APT41 有關。雖然未追蹤到源頭,但從這次攻擊可見黑客在過程中使用了已知而未修補的漏洞去提升權限,因此專家強烈呼籲企業IT管理者應時刻保持軟硬件系統在最新版本狀態。
相關文章:【細水長流】惡意負載遭斬件154份 迴避安全偵測靠耐性
