臺海局勢緊張,中國駭客針對臺灣發動攻擊的情況不時傳出,但也有駭客組織同時對兩岸使用者下手的情況。

資安業者Intezer揭露專門針對臺灣、香港、中國等使用中文的國家而來的攻擊行動,駭客組織Silver Fox先是利用釣魚網頁,佯稱提供應用程式的名義散布惡意的MSI安裝程式。

一旦使用者依照指示安裝,電腦在安裝應用程式的過程裡,也會一併載入內含惡意酬載的壓縮檔,該壓縮檔受到密碼保護。接下來攻擊者使用特定的密碼解開壓縮檔,當中包含惡意程式載入工具PNGPlug(libcef.dll)。Intezer惡意軟體分析師暨逆向工程師Nicole Fishbein提及,為了迴避資安系統偵測,攻擊者有可能將PNGPlug檔案大小增加至220 MB。

攻擊者利用PNGPlug竄改ntdll.dll,而能在記憶體注入處理程序,並把用來掩飾攻擊行動的應用程式檔案down.exe路徑寫入登錄檔,然後將挾帶惡意酬載的圖檔aut.png注入記憶體內。

此惡意程式載入工具還會搜尋電腦是否安裝了中國防毒軟體360安全衛士,將另一個惡意圖檔view.png在記憶體內載入,並建立新的處理程序,而此惡意程式就是ValleyRAT。

根據受害者感染媒介及有效酬載,Nicole Fishbein指出,他們認為這起攻擊行動就是Silver Fox所為。

熱門新聞

Advertisement