
臺海局勢緊張,中國駭客針對臺灣發動攻擊的情況不時傳出,但也有駭客組織同時對兩岸使用者下手的情況。
資安業者Intezer揭露專門針對臺灣、香港、中國等使用中文的國家而來的攻擊行動,駭客組織Silver Fox先是利用釣魚網頁,佯稱提供應用程式的名義散布惡意的MSI安裝程式。
一旦使用者依照指示安裝,電腦在安裝應用程式的過程裡,也會一併載入內含惡意酬載的壓縮檔,該壓縮檔受到密碼保護。接下來攻擊者使用特定的密碼解開壓縮檔,當中包含惡意程式載入工具PNGPlug(libcef.dll)。Intezer惡意軟體分析師暨逆向工程師Nicole Fishbein提及,為了迴避資安系統偵測,攻擊者有可能將PNGPlug檔案大小增加至220 MB。
攻擊者利用PNGPlug竄改ntdll.dll,而能在記憶體注入處理程序,並把用來掩飾攻擊行動的應用程式檔案down.exe路徑寫入登錄檔,然後將挾帶惡意酬載的圖檔aut.png注入記憶體內。
此惡意程式載入工具還會搜尋電腦是否安裝了中國防毒軟體360安全衛士,將另一個惡意圖檔view.png在記憶體內載入,並建立新的處理程序,而此惡意程式就是ValleyRAT。
根據受害者感染媒介及有效酬載,Nicole Fishbein指出,他們認為這起攻擊行動就是Silver Fox所為。
熱門新聞
2025-02-05
2025-01-31
2025-01-30
2025-02-03
2025-02-05
2025-02-03
2025-02-05
Advertisement