中國駭客Phantom Taurus鎖定外交官、大使館而來，入侵SQL Server收集情報

上個月底資安業者Recorded Future指出，他們自去年以代號TAG-100（現稱為RedNovember）追蹤的駭客組織，根據他們進一步分析的結果，這些駭客極可能有中國政府在背後撐腰，如今有其他資安業者也表示，他們長期追蹤的駭客組織，確認是與中國政府有關的國家級駭客。

資安業者Palo Alto Networks指出，他們從兩年前先後以代號CL-STA-0043、TGR-STA-0043追蹤的駭客組織，現在該公司確認這組人馬是中國資助的APT駭客，並將其命名為Phantom Taurus。這些駭客過往曾鎖定亞洲、中東、非洲的政府機關及電信組織，主要目標是網路間諜活動，攻擊者關注的領域，涵蓋外交部、大使館、地緣政治事件，以及軍事行動，收集與中國軍事利益相關的情報，而且，他們活動的時間與範圍，經常與重大全球事件或地區安全事件符合。

而對於Phantom Taurus與其他中國APT駭客組織之間的關連，目前已知他們與多個駭客組織，如APT27、Winnti、Mustang Panda，共用部分基礎設施，但這些駭客採用了其他駭客沒有的基礎設施元件，因此Palo Alto Networks認為這是一個新的駭客組織。

在運用的攻擊手法方面，Phantom Taurus今年初有重大變化，過往他們試圖從郵件伺服器竊取含有特定內容的敏感電子郵件，但現在轉移目標，鎖定資料庫下手，透過名為mssq.bat的指令碼進行連線，從資料庫收集資料。

上述指令碼會執行那些動作？駭客使用指定的伺服器名稱、sa帳號，以及事先取得的密碼存取SQL Server，以特定關鍵字下達查詢命令並執行，最終將結果匯出CSV檔。附帶一提的是，駭客執行指令碼的方式，是透過WMI在遠端SQL Server主機裡執行。Palo Alto Networks在阿富汗和巴基斯坦等特定國家的攻擊事故裡，看到駭客以此挖掘敏感資料。

另一個引起該公司注意的地方，是這些駭客近期運用新的惡意軟體套件NET-Star，該套件專門針對IIS網頁伺服器而來，使用.NET開發而成。值得一提的是，此惡意軟體具備兩種後門程式，包含了IIServerCore與AssemblyExecuter。其中的IIServerCore為模組化後門，完全在記憶體內運作，支援執行命令，並能在記憶體內執行有效酬載。

第二款後門程式AssemblyExecuter，主要功能是用來在記憶體內執行.NET酬載，駭客約從2024年開始使用，並於今年開發新一代，加入了額外的迴避偵測能力，可繞過作業系統內建的反惡意軟體掃描介面（AMSI），以及Windows事件追蹤器（ETW）。

過往Phantom Taurus透過Exchange進行情報收集的情況，近期也有其他駭客針對此種郵件伺服器下手，例如，6月資安業者Positive Technologies揭露針對Exchange的鍵盤側錄工具（Keylogger）攻擊行動，受害範圍涵蓋臺灣等26個國家；7月上旬ESET揭露伊朗駭客BladedFeline部署Exchange後門程式，滲透中東多個地區的政府及企業組織，意圖竊取敏感資訊；7月下旬卡巴斯基發現後門程式GhostContainer，駭客鎖定亞洲政府機關與高科技產業的Exchange伺服器而來。