在大部分的攻擊行動當中,駭客通常會使用相同的語言,以便進行溝通,然而最近一起事故顛覆許多人的想像,從事犯案的駭客組織,竟是不同國家駭客集結的犯罪集團。
資安業者Group-IB揭露從2023年開始的跨國駭客組織攻擊活動ShadowSilk,攻擊者鎖定亞太地區及中亞國家的政府機關而來,意圖進行資料外洩,迄今他們已經確認有35個組織受害,大部分為中亞國家的政府部門,涵蓋烏茲別克(Uzbekistan)、土庫曼(Turkmenistan)、巴基斯坦(Pakistan)、吉爾吉斯(Kyrgyzstan)、塔吉克(Tajikistan)、緬甸(Myanmar)。這些駭客使用多樣化的工具包從事活動,包含已知漏洞、滲透測試工具,以及用來控制受害設備的網頁管理介面。
特別的是,這些駭客旗下有兩個團隊,並使用簡體中文及俄文,不過,兩組人馬究竟如何合作,他們合作的層級與性質,目前還無法完全確定,Group-IB推測,俄國駭客著重惡意程式開發,以及建立初始存取管道;中國駭客則負責後續活動及竊取資料。此外,這些駭客使用的基礎設施,與名為YoroTrooper駭客組織有所交集。Group-IB提及,這些駭客的活動,其中一部分是今年1月資安業者Seqrite揭露的Silent Lynx攻擊事故,當時這些駭客針對吉爾吉斯與土庫曼而來。
對此,Group-IB與吉爾吉斯電腦緊急應變團隊(CERT-KG)聯手,取得駭客伺服器的關鍵螢幕截圖,從而揭露多起大規模攻擊,以及該組織的戰略、手段、流程(TTP),並釐清駭客成員組成、使用的語言、來源國家等細節。
他們根據伺服器的螢幕截圖,得知有作業員使用俄文鍵盤,並在輸入命令的時候出現拼字錯誤的情況,從而掌握有部分駭客來自俄羅斯;另一方面,Group-IB也發現當中存在使用中文的營運人員,他們的電腦顯示簡體中文介面、使用簡體中文工具,以及瀏覽翻譯成簡體中文的吉爾吉斯政府網站。
此外,這些駭客使用自己的設備測試惡意程式,並透過Cobalt Strike Beacon與裝置互動。
究竟這些駭客如何發動攻擊?他們透過物聯網搜尋引擎FOFA、Shodan,以及fscan、gobuster、dirsearch等工具進行偵察,並運用sqlmap、wpscan等工具攻擊網頁應用程式。這些駭客運用的已知漏洞,包括Durpal重大漏洞CVE-2018-7600、CVE-2018-7602,以及ValvePress推出的WordPress外掛程式Automatic漏洞CVE-2024-27956(CVSS風險皆為9.8)。
而對於入侵及控制受害設備的工具,也相當多元,涵蓋Metasploit、Cobalt Stirke、以Telegram機器人為基礎的自製應用程式及指令碼,以及代理伺服器工具resocks、proxifier、chisel、rsocx。此外,Group-IB特別提及有一批是中國駭客的作案工具,其中包含Antsword、Godzilla webshell、WeblogicTool、FinalShell、SNETCracker、HTTP-Reverse-Shell,以及Drupalgeddon2。
熱門新聞
2025-12-04
2025-12-08
2025-12-08
2025-12-05
2025-12-04
