駭客組織UNG0002鎖定中國、香港、巴基斯坦，利用LNK檔案從事攻擊

去年10月資安業者Seqrite揭露攻擊行動Operation Cobalt Whisper，駭客針對香港與巴基斯坦而來，大部分的目標是關鍵基礎設施，如今研究人員循線追查，指出這些駭客今年再度犯案，結合ClickFix手法網路釣魚從事新一波活動Operation AmberMist。

這個組織被命名為UNG0002，他們以網路間諜活動，主要的活動範圍涵蓋香港、巴基斯坦、中國，以及多個亞洲國家及地區。這些駭客偏好使用Windows捷徑檔（LNK）、VBScript指令碼，以及Cobalt Strike與Metsploit兩款滲透測試工具，並主要以應徵工作為誘餌接觸受害者。

USG002前後兩波攻擊活動何時開始？持續多久？Operation Cobalt Whisper發生在去年5月至9月，駭客主要透過20種感染鏈對國防、電工、民航組織而來，但後來發生在今年1月至5月的Operation AmberMist，他們將攻擊範圍延伸到電玩、軟體開發、學術機構，並使用Shadow RAT、Blister DLL、INET RAT等輕量級的作案工具。

在Seqrite最新揭露的Operation AmberMist，Seqrite提及駭客運用的新手法，首先，他們會運用幾可亂真的履歷來鎖定特定產業，例如會冒充著名機構的遊戲UI設計師，或是計算機科學系學生；接著，他們會利用假的CAPTCHA圖靈驗證進行ClickFix攻擊，藉此引誘使用者上鉤，從而在受害電腦執行惡意PowerShell指令碼。

就攻擊活動採用的策略而言，UNG0002採取多階段攻擊，藉由LNK檔、VBScript、批次檔、PowerShell來形成複雜的感染鏈，來植入惡意程式，然後濫用Rasphone、Node-Webkit等應用程式，以DLL側載手法執行惡意酬載。