隨著國際局勢日益緊張,這幾年中國駭客隨著政府外交政策從事網路間諜活動的事故不時傳出,例如:被稱為Mustang Panda、Earth Preta、RedDelta、TA416、TEMP.Hex的中國駭客組織,隨著政府的外交政策,將目標轉向了臺灣和蒙古;去年8月駭客組織MirrorFace開始對歐洲外交單位發動攻擊,目標是想要參加今年4月舉辦的世界博覽會與會人士,如今又有駭客組織專門針對外交官而來,動機疑似配合中國的戰略利益。
Google威脅情報小組(GTIG)揭露發生在今年3月的網路間諜活動,名為UNC6384的中國駭客組織,針對東南亞的外交官而來,但全球也有其他企業組織受害。這些駭客挾持攻擊目標的網路流量,利用瀏覽器強制入口網站(Captive Portal)機制,藉此散布具有數位簽章的惡意程式下載工具StaticPlugin,最終在受害電腦的記憶體內植入後門程式PlugX(Google稱做Sogu.Sec)。
什麼是強制入口網站機制?這是在授予用戶存取網路權限之前,將使用者導向特定網頁,必須進行指定的登入程序才能正常上網。這種機制經常出現於各式付費或免費的Wi-Fi網路,管理者能藉此說明網路的使用規範,但如今也遭到駭客濫用。
在這波多階段的攻擊流程裡,駭客不僅利用社交工程手法,並搭配有效的程式碼簽章,過程裡發動了對手中間人攻擊(AiTM),並以間接執行的手段來迴避偵測。
這些駭客假借提供軟體或外掛程式更新的名義,引誘受害者上當,藉此散布惡意程式。在其中一起事故當中,他們對目標聲稱提供Adobe的外掛程式更新。Google看到受害者的Chrome對特定的URL(http://www.gstatic.com/generate_204)發出HTTP請求,並進行重新導向。
雖然gstatic.com是合法網域,但根據調查,受害者被重新導向到駭客的網頁,並下載了惡意軟體,過程中發生對手中間人攻擊,究竟駭客如何得逞?Google推測很有可能是入侵目標組織的邊緣裝置來達到目的,但他們尚未找到入侵裝置的攻擊管道。
值得一提的是,駭客的網頁使用HTTPS加密連線,並具有Let's Encrypt頒發的有效TLS憑證,而且,惡意軟體的有效酬載不僅被偽裝成合法軟體,並具備有效的數位簽章。
特別的是,駭客的網頁幾乎沒有任何內容,而是在網頁上方顯示錯誤訊息,指出瀏覽器需要安裝額外的外掛程式,才能正常顯示網頁內容,一旦使用者點選「安裝缺少的外掛程式」按鈕,電腦就會自動下載AdobePlugins.exe,並顯示後續的操作步驟。
不過,Google提及這個安裝程式可能只是轉移使用者注意力的誘餌,因為無論使用者按下安裝或是取消的按鈕,都不會觸發與惡意軟體有關的行為。然而在此同時,PlugX疑似已經在受害電腦執行,究竟駭客如何植入此惡意程式,Google並未進一步說明。
而對於UNC6384的來歷,Google指出很可能與惡名昭彰的Mustang Panda有關,因為兩組人馬使用的工具、攻擊目標相當類似,而且C2基礎設施有所交集。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
