資安業者Palo Alto Networks針對中國APT駭客TGR-STA-0043發起的攻擊行動Operation Diplomatic Specter提出警告,駭客從2022年底,針對中東、非洲、亞洲的政府組織下手,至少有7個政府單位確認長期遭到網路間諜攻擊,對方利用相當罕見的電子郵件滲透手法,對受害伺服器進行大規模的情報收集工作。

究竟這些駭客的目的是什麼?研究人員認為,對方試圖取得外交與經濟業務單位、大使館、軍事機構、政治會議,以及特定國家的部會、高層官員情報,而這些皆與地緣政治有關。他們看到駭客幾乎每天都竊取情報,主要手法是滲透目標組織機構的郵件伺服器來進行。

研究人員研判,這起攻擊行動是單一駭客組織進行,但他們並不清楚對方打算如何運用相關情報。而這起事故也突顯為中國政府從事間諜行動的駭客,收集情報的範圍越來越廣,他們試圖取得亞洲地區以外的相關資訊,並延伸至中東和非洲。

這些駭客究竟如何入侵受害組織?研究人員指出,對方多半重覆利用Exchange伺服器的弱點,而能成功取得入侵的初始管道,其中兩個經常被利用的漏洞,包含了ProxyLogon(CVE-2021-26855)、ProxyShell(CVE-2021-34473)。

他們也觀察到駭客使用的後門程式TunnelSpecter、SweetSpecter,並指出兩者皆採用部分木馬程式Gh0st RAT的程式碼打造而成,TunnelSpecter著重於DNS隧道能力,而SweetSpecter則是與另一支名為SugarGh0st RAT的惡意軟體存在相似之處。這些後門程式,讓對方能持續秘密存取受害組織的網路,並執行任何命令、竊取資料,以及在受害主機植入更多惡意工具。

研究人員指出,這起攻擊行動與中國資助駭客從事網路間諜攻擊有關,因為,這些駭客使用中國APT駭客共用的基礎設施,從事行動的時間也很規律。值得一提的是,對方在C2伺服器的架設上,運用了中國當地的虛擬專屬伺服器(VPS)服務。

此外,對方在使用的工具及文件當中,也存在大量的簡體中文註解,而且在本次攻擊行動裡,他們看到駭客廣泛使用中國駭客經常使用的工具,包括:修改版Gh0st RAT、PlugX、Htran、中國菜刀(China Chopper)等惡意程式。

鎖定中東及非洲政府機關而來,並利用Exchange漏洞發動攻擊的情況,上週也有研究人員提出警告。資安業者Positive Technologies指出,他們發現有人自2021年開始,利用ProxyShell入侵政府機關,並在Exchange伺服器嵌入鍵盤側錄工具(Keylogger),至少有30個組織受害。

熱門新聞

Advertisement