5月上旬威脅情報業者EclecticIQ指出,與中國國家安全部(MSS)有關的駭客團體CL-STA-0048、UNC5221,以及UNC5174,利用SAP修補的NetWeaver滿分漏洞CVE-2025-31324,廣泛於英國、美國、沙烏地阿拉伯發動攻擊,現在有研究人員公布長期調查的結果,指出這些駭客長期針對網頁應用系統的資安漏洞來入侵受害組織,得逞後透過多種手法從事網路間諜活動,竊取內部資料。
資安業者趨勢科技指出,他們從2023年追蹤與上述團體有關的中國駭客組織Earth Lamia,這些駭客主要針對巴西、印度、東南亞的企業組織從事攻擊行動,他們利用的管道,是透過網頁應用程式的SQL注入漏洞存取受害組織的SQL Server,這些駭客也擅於使用已知漏洞對能夠從網際網路存取的伺服器下手。
研究人員提及,這些駭客廣泛鎖定許多企業組織,但同時間只會對特定行業下手,根據駭客針對的對象,大致可分成幾個時期,從2023年至2024年初,他們主要的目標是金融業,尤其是與證券和金融經紀公司;到了2024年下半,他們將目標轉向物流與網路零售業;直到最近,駭客將目標轉向IT公司、大學、政府機關。
雖然Earth Lamia高度使用可公開取得的工具從事攻擊,但他們也不斷開發自己的工具Pulsepack、BypassBoss。其中Pulsepack約從去年8月出現,今年駭客改用升級版本,最大的差異就是更換C2通訊的做法,這代表駭客積極開發這個後門程式。
針對駭客的攻擊流程,這些駭客經常透過掃描找出目標網站的SQL注入漏洞,一旦找到漏洞,他們就會試圖開啟系統的Shell,從而得到SQL Server的遠端存取管道。但除了試圖利用SQL注入手法,駭客也使用已知漏洞來攻擊其他應用程式伺服器。
除了前述提及的CVE-2025-31324,這些漏洞包含:Apache Struts2漏洞CVE-2017-9805、Craft CMS漏洞CVE-2024-56145、CyberPanel漏洞CVE-2024-51378與CVE-2024-51567、GitLab漏洞CVE-2021-22205、JetBrains TeamCity漏洞CVE-2024-27198與CVE-2024-27199,以及WordPress檔案上傳外掛漏洞CVE-2024-9047,這些漏洞大部分涉及遠端程式碼執行(RCE),但也有任意檔案存取、身分驗證繞過、路徑穿越弱點。
一旦成功入侵受害伺服器,這些駭客就會從事一系列的行為,於受害組織的網路環境進行橫向移動。這些行為包含利用Certutil及PowerShell下載作案工具、在網頁應用程式伺服器植入Web Shell、使用GodPotato或JuicyPotato等工具提升權限,以及利用Fscan及Kscan等工具掃描網路環境等。
另一方面,這些駭客還會建立名為helpdesk的使用者帳號,並加入管理員群組,透過LSASS或是特定的機碼截取帳密資料,並使用公用程式nltest.exe、net.exe收集網域控制器的資訊。
而對於建立對外通訊的部分,駭客使用rakshasa與Stowaway建立代理伺服器隧道,使用Vshell、Cobalt Strike、Brute Ratel等滲透測試工具產生後門程式,並透過schtasks.exe維持後門的運作。
附帶一提,若是Earth Lamia成功利用SQL注入漏洞,就會建立具有管理員權限的帳號sysadmin123。
熱門新聞
2025-06-09
2025-06-09
2025-06-10
2025-06-09
2025-06-09
2025-06-09
