圖片來源: 

Nemanja Jeremic on unsplash

美國資安業者SentinelLabs本周揭露了中國駭客集團Moshen Dragon最近的攻擊行動,指稱Moshen Dragon企圖將惡意的DLL檔案側載至各大防毒軟體,並竊取憑證以於受害組織中橫向移動,攻擊目標為中亞的電信業者,目的則是常駐以展開間諜活動。

SentinelLabs迄今並不知道Moshen Dragon如何入侵這些受害組織,因而以駭客於組織內的行為進行探討,發現Moshen Dragon會濫用系統上的防毒軟體以執行DLL搜尋順序挾持,藉以於系統上側載惡意程式,並利用Impacket進行橫向移動,有些惡意程式可竊取憑證,有些則能建立預定任務或服務以維持常駐狀態。

根據分析,遭到Moshen Dragon濫用的防毒軟體產品包括Symantec SNAC、TrendMicro Platinum Watch Dog、BitDefender SSL Proxy Tool、McAfee Agent,以及Kaspersky Anti-Virus Launcher,研究人員指出,與其追究這些遭到濫用的防毒軟體,不如說是相關攻擊反映了Windows作業系統允許DLL搜尋順序劫持的古老設計漏洞。

執行DLL搜尋順序劫持有許多方法,諸如將惡意DLL置放在優先目錄中,以在程式呼叫程式庫時率先被載入,或是把同名的惡意DLL置放在程式正在執行的目錄中,以利被優先取用。Moshen Dragon透過DLL挾持側載了ShadowPad與PlugX等惡意程式。

不管是ShadowPad或PlugX都是中國駭客常用的工具,它們具備彈性及模組化功能,而且可輕易繞過傳統的端點保護產品,專供間諜活動使用,一旦駭客於組織內建立了據點,就會開始透過Impacket進行橫向移動,於組織中植入後門程式,竊取大量憑證與資料。


熱門新聞

Advertisement