為了探聽美國政府的國際政策,中國資助的國家級駭客近期頻頻鎖定協助美國政府的企業組織下手,最近有資安業者公布相關事故調查結果,引起外界關注。
資安業者賽門鐵克揭露今年4月美國非營利組織遭到中國駭客入侵的事故,而該組織被盯上的原因,就是他們積極影響美國政府的國際議題政策。駭客在取得初始存取權限後,企圖建立長期存取的管道。根據攻擊過程使用防毒軟體Vipre AV的元件vetysafe.exe側載惡意DLL檔案sbamres.dll,賽門鐵克認為攻擊者來自中國。他們提及,這類手法Salt Typhoon、APT41旗下團體Earth Longzhi都曾使用。
這起攻擊活動的跡象,最早出現在4月5日,攻擊者試圖對特定的伺服器下手,進行一系列的已知漏洞大規模掃描,這些漏洞包括:Log4j遠端程式碼執行(RCE)漏洞CVE-2021-44228(Log4Shell)、Atlassian Confluence開發協作平臺OGNL漏洞CVE-2022-26134, 以及Apache Struts漏洞CVE-2017-9805等。事隔數日,4月16日他們再度出沒,利用Curl指令進行連線測試,並尋找受害組織內部環境感興趣的系統下手,並透過命令列工具netstat收集網路組態資訊。
攻擊者透過工作排程以便維持在受害主機活動,其工作內容是透過msbuild.exe啟動有問題的XML檔案,載入惡意程式碼並與C2連線。後續他們執行自行製作的惡意程式載入工具,透過命令列傳輸加密檔案,解密後載入記憶體運作,目的疑為載入RAT木馬。
再者,這些駭客也利用Vipre AV元件載入名為sbamres.dll的惡意DLL,並透過特定版本的DCSync來冒充網域控制器(DC),企圖運用資料夾複製服務遠端通訊協定(Directory Replication Service Remote Protocol,MS-DRSR),從另一臺網域控制器竊取用戶憑證。
附帶一提的是,攻擊攻擊者在受害網路環境運用微軟輸入法編輯器(IME)公用程式(Imjpuexc.exe),濫用該元件的情況並不常見,賽門鐵克指出,這是他們看到駭客的最後一次活動。不過,駭客濫用輸入法公用程式的動機為何,賽門鐵克並未說明。
回顧過去,中國駭客曾多次試圖攻擊協助美國政府制訂政策的企業組織,例如,總部位於美國華盛頓特區的律師事務所Wiley Rein,7月傳出部分律師和顧問的Microsoft 365帳號遭中國駭客存取,疑似為了探聽臺灣、貿易、美國關稅等有關的機敏資訊。
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2026-01-02
2025-12-31
2025-12-31
2025-12-31