被稱為Ref7707、CL-STA-0049、Earth Alux,以及Jewelbug的中國駭客組織,近期傳出有新一波的攻擊活動受到關注,他們打造名為NanoRemote的惡意程式,並濫用Google Drive的API充當C2,以及藏匿惡意軟體檔案的管道。如今傳出這些駭客擴張攻擊範圍,從東南亞及南美洲,延伸到歐洲與其他地區。
資安公司Check Point揭露Ref7707(該公司稱為Ink Dragon)針對歐洲的攻擊行動。這些駭客從2023年開始,多次鎖定政府機關、電信業者,以及公營事業基礎設施下手,主要的攻擊多半出現在東南亞及南美洲,不過,他們近期對歐洲與其他地區帶來的威脅,變得越來越嚴重。這些駭客活動的主要特徵,是綁架受害組織的網路環境,用於建構大型分散式中繼網路。駭客在受害組織部署名為ShadowPad的IIS監聽模組,將被滲透的伺服器轉化成能接收指令並轉發的通訊節點,使得他們的行蹤變得更難以捉摸。
針對這些駭客入侵受害組織的過程,他們通常會運用曾被外洩的金鑰,試圖觸發ASP.NET ViewState反序列化的現象,從而取得初期的存取管道,不過,在部分活動當中,Ref7707利用了SharePoint重大漏洞ToolShell(CVE-2025-53770)來達到目的。Check Point指出,這些駭客於2025年7月就大規模掃描ToolShell,代表他們當時就有能力利用相關漏洞。
一旦成功進入受害組織的內部網路環境,他們就會試圖從IIS應用程式與服務挖掘憑證與組態資料,進行權限提升,並且掌握積極活動的管理員連線,藉此取得伺服器的本機管理憑證,從而得到完整的系統控制,並透過RDP隧道、工作排程,以及能管理開機啟動項目的有效酬載,建立持久的遠端存取通道。由於許多企業組織為管理方便,在不同網段重複使用服務憑證,使得駭客只要能取得其中一組IIS憑證,就有機會在其IIS伺服器通過身分驗證。
接著,他們進行橫向移動,使用惡意程式ShadowPad或FinalDraft的變種,透過SMB等通訊協定散布。為了能持續於受害伺服器活動,Ref7707通常會利用工作排程,或是部署服務來進行。為了掩人耳目,駭客也會重新命名各階段的可執行檔,偽裝成Windows內建的公用程式,這些執行檔大多具備AMD、Realtek,以及Nvidia等廠商的數位簽章。再者,他們透過漏洞利用、憑證與LSASS擷取,以及閒置的連線階段(Session)提升權限,並在電腦植入後門程式FinalDraft。
附帶一提的是,駭客也竄改受害伺服器的防火牆規則, 使得這些主機能廣泛將流量發出,並在Windows作業系統內建的防毒軟體Microsoft Defender套用,從而將受害主機納入中繼網路。他們透過IIS監聽模組來控制這些受害伺服器。
針對這波攻擊駭客使用的新版FinalDraft,此為功能完整的遠端管理工具(RAT木馬),攻擊者可搭配擴充模組使用,並處理代理伺服器網路流量,攻擊者透過微軟的Graph API,濫用雲端電子郵件服務Outlook充當C2,進行命令的交換。
惡意軟體FinalDraft的活動最早可追溯到2024年11月,揭露此事的資料搜尋及分析公司Elastic發現,當時Ref7707針對南美國家外交部而來,再者,駭客也著手開發Linux版FinalDraft。
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2026-01-02
2025-12-31
2025-12-31