圖片來源: 

ESET

許多企業使用的郵件系統Exchange Server,今年3月初驚傳重大漏洞ProxyLogon,多個駭客組織在微軟發布修補程式之後,開始運用這個漏洞進行攻擊。例如,ESET最近揭露針對全球飯店、政府的網路間諜組織FamousSparrow,駭客在受害組織植入後門程式的入侵管道,就包含ProxyLogon漏洞利用。

這個駭客組織引起ESET關注的原因之一,就在於他們於微軟發布修補程式的隔日(3月3日),就著手運用前述的Exchange Server漏洞。

受害者遍及12個國家,臺灣也在名單之內

ESET根據遙測的資料進行分析,他們認為FamousSparrow至少從2019年8月就開始活動,主要的攻擊目標是全球的飯店。

但是,除了針對多家飯店之外,ESET也看到其他攻擊活動,鎖定對象包括:臺灣、巴西、南非、加拿大、以色列、法國、英國、瓜地馬拉等12國政府單位、國際組織、工程公司,以及法律事務所等行業。

這個網路間諜組織究竟採用何種攻擊手法?

ESET指出,FamousSparrow的偏好,是經由曝露在網際網路的網頁應用程式,來入侵受害組織的系統,他們認為,該組織不只鎖定Exchange Server,還有SharePoint、Oracle提供用於管理飯店的商業軟體Opera,並用這些網頁程式已知的遠端程式碼執行(RCE)漏洞,進而在組織內植入惡意程式。

作案軟體包含與竊密有關的工具

一旦FamousSparrow成功入侵上述伺服器主機, 便會部署多種作案工具: 包含了駭客自行編譯的Mimikatz,以及NetBIOS掃描工具Nbtscan、後門程式SparrowDoor的載入工具,還有疑似用來收集受害電腦記憶體內機密的工具。不過,對於此洩密工具,ESET並未提及名稱,但指出其用途是下載ProcDump的應用程式,導出LSASS處理程序裡的資料。

而對於後門程式SparrowDoor的運作方式,ESET也做出說明:當中使用K7 Computing防毒軟體的合法應用程式,名為Indexer.exe,趁機夾帶惡意DLL檔案K7UI.dll,以及加密的Shellcode(MpSvc.dll)。

因Indexer.exe需K7UI.dll程式庫才能執行,再加上攻擊者存放此可執行程式的路徑,具備最高載入優先順序,容易觸發DLL劫持攻擊。

關於SparrowDoor後門程式的運作方式,根據資安業者ESET的揭露,是先由合法的K7 Computing防毒軟體元件載入惡意程式庫,再執行Shellcode進行解碼程序,最終才在受害電腦編譯並執行後門程式。

不過,SparrowDoor這個後門程式,究竟有那些功能?

ESET指出,攻擊者可透過該程式,竄改檔名或移除檔案、建立資料夾、傳送檔案資訊、取得檔案大小與寫入時間、外洩特定檔案的內容。此外,為了清除相關的跡證,SparrowDoor也能自我刪除檔案,以及移除能在受害裝置持續運作的配置。


熱門新聞

Advertisement