圖片來源: 

Symantec

資安業者賽門鐵克(Symantec)本周揭露一名為Thrip的駭客集團,該集團使用中國境內的3台電腦駭進美國與東南亞的衛星通訊業者、電信業者與國防承包商,目的是為了攔截通訊。且Thrip還採用了不容易被偵測的「離地攻擊」(living off the land)攻擊手法,以藏蹤匿跡並遮掩身分。

根據賽門鐵克的追蹤,Thrip攻擊最令人擔憂的應是它鎖定了一家衛星通訊業者,且對該業者的操作細節特別感興趣,企圖感染執行衛星監控暨控制軟體的電腦,令人懷疑駭客的目的不只是為了攔截通訊,可能還包括摧毀衛星通訊。另一個攻擊目標則是涉及地理空間成像與繪製的組織,駭客亦對其操作端有濃厚興趣。

Thrip集團還鎖定了3家位於東南亞的電信營運商,以及一家國防承包商。

事實上,Thrip集團自2013年就藉由駭客攻擊展開間諜行動,初期該集團仰賴的是客製化的惡意程式,但從去年以來的最近幾波攻擊已大規模改採「離地攻擊」工具。

所謂的「離地攻擊」是利用作業系統功能或合法的網路管理工具來入侵目標網路,企圖把惡意行為隱身於合法的程序中。遭到駭客濫用的合法工具包括微軟的PsExec系統工具、微軟的腳本工具PowerShell、免費的權限變更工具Mimikatz、開源的FTP客戶端WinSCP,以及遠端存取軟體LogMeIn等,當中除了Mimikatz的名聲不佳之外,其它都是經常被使用的合法工具。

在使用上述合法工具入侵之後,駭客也會針對感興趣的電腦部署客製化的惡意程式。

賽門鐵克表示,目前看來間諜行為是Thrip集團最有可能的動機,但由於駭客也嘗試危害業者的操作系統,不排除會採取更積極的破壞性行為。賽門鐵克並未揭露遭Thrip鎖定的組織名稱。


Advertisement

更多 iThome相關內容