中國駭客Moshen Dragon濫用防毒軟體並鎖定中亞電信產業發動攻擊

美國資安業者SentinelLabs本周揭露了中國駭客集團Moshen Dragon最近的攻擊行動，指稱Moshen Dragon企圖將惡意的DLL檔案側載至各大防毒軟體，並竊取憑證以於受害組織中橫向移動，攻擊目標為中亞的電信業者，目的則是常駐以展開間諜活動。

SentinelLabs迄今並不知道Moshen Dragon如何入侵這些受害組織，因而以駭客於組織內的行為進行探討，發現Moshen Dragon會濫用系統上的防毒軟體以執行DLL搜尋順序挾持，藉以於系統上側載惡意程式，並利用Impacket進行橫向移動，有些惡意程式可竊取憑證，有些則能建立預定任務或服務以維持常駐狀態。

根據分析，遭到Moshen Dragon濫用的防毒軟體產品包括Symantec SNAC、TrendMicro Platinum Watch Dog、BitDefender SSL Proxy Tool、McAfee Agent，以及Kaspersky Anti-Virus Launcher，研究人員指出，與其追究這些遭到濫用的防毒軟體，不如說是相關攻擊反映了Windows作業系統允許DLL搜尋順序劫持的古老設計漏洞。

執行DLL搜尋順序劫持有許多方法，諸如將惡意DLL置放在優先目錄中，以在程式呼叫程式庫時率先被載入，或是把同名的惡意DLL置放在程式正在執行的目錄中，以利被優先取用。Moshen Dragon透過DLL挾持側載了ShadowPad與PlugX等惡意程式。

不管是ShadowPad或PlugX都是中國駭客常用的工具，它們具備彈性及模組化功能，而且可輕易繞過傳統的端點保護產品，專供間諜活動使用，一旦駭客於組織內建立了據點，就會開始透過Impacket進行橫向移動，於組織中植入後門程式，竊取大量憑證與資料。