貴公司修補Log4j漏洞了嗎?小心可能會引來國家駭客。賽門鐵克研究人員2月間發現,名為Stonefly的北韓駭客組織駭入美國國防及能源有合作關係的工程公司,利用的正是去年12月間揭露的Apache Log4j漏洞(CVE-2021-44228)。

Stonefly又名DarkSeoul、BlackMine、Operation Troy 及Silent Chollima,最初是2009年現蹤,對多家南韓、美國政府單位及金融業網站發動分散DDoS攻擊,不過近年逐漸轉向對少數目標以複雜的木馬及後門程式發動竊密。一般相信Stonefly是北韓政府網路間諜活動的打手,以竊取機密及智財為主要活動,也和其他北韓駭客組織如Pompilus聯手。它攻擊的目標集中在高科技技術密集的特定目標,像是輔助能源、航太或軍事設備研發的單位。

在Stonefly 2月的攻擊中,受害者是美國一家和國防、能源業有關的工程業者。駭客可能是利用Log4j漏洞存取面向網際網路的VMware View伺服器的Log4j漏洞。在駭入大門後,Stonefly植入了Preft(或稱Dtrack、Valefor)的後門,並以Mimitatz在網路內蒐集存取憑證資料,並以多種工具在該業者網路上橫向移動,最後入侵了另外18臺系統。同時它利用自行開發的資訊竊取工具破解加密保護,並以SSH連線將受害者檔案傳送到外部。

研究人員分析Stonefly的手法多所進化,但有幾個穩定特徵,包括持續使用Preft後門及大量仰賴開源工具,如WinSCP及3proxy tiny proxy server等,而它只專注在敏感資訊的攻擊策略使其成為能力最高的北韓駭客之一。賽門鐵克也公布了Stonefly攻擊行動的入侵指標。

這次攻擊顯示未修補Log4j的後果嚴重性。上周安全廠商Rezilion公布一項研究指出,迄今9萬多個應用程式仍然曝險。而且臺灣下載舊版、有漏洞Log4j的比例是所有資訊應用發達的國家中最高的,從去年底以來都超過80%。

熱門新聞

Advertisement