作者
標題 [新聞] 臺灣研究機構遭中國駭客組織APT41攻擊
時間 Tue Aug 6 19:47:10 2024
標題 [新聞] 臺灣研究機構遭中國駭客組織APT41攻擊
時間 Tue Aug 6 19:47:10 2024
ithome
臺灣研究機構遭中國駭客組織APT41攻擊
研究人員公布去年中國駭客組織APT41針對臺灣政府機關所屬的研究機構從事攻擊的資安
事故,值得留意的是,駭客利用舊版微軟Office隨附的IME元件,以及開源的迴避偵測工
具來躲過防毒軟體的攔截
事故,值得留意的是,駭客利用舊版微軟Office隨附的IME元件,以及開源的迴避偵測工
具來躲過防毒軟體的攔截
文/周峻佑 | 2024-08-05發表
惡名昭彰的中國駭客組織APT41近年來動作頻頻,其動態尤其引人關注,自資安業者
Mandiant公布該組織滲透全球航運、物流、媒體及娛樂產業的攻擊行動,有研究人員公布
專門針對臺灣而來的資安事故。
思科旗下威脅情報團隊Talos揭露APT41針對臺灣政府所屬研究機構的攻擊行動,遭駭單位
是隸屬臺灣政府旗下的研究機構,專精於運算與科技領域,研判駭客的目的很有可能是竊
取專利資料或是敏感的技術。
是隸屬臺灣政府旗下的研究機構,專精於運算與科技領域,研判駭客的目的很有可能是竊
取專利資料或是敏感的技術。
思科去年8月偵測到受害組織的IP位址在下載PowerShell指令碼,並執行惡意命令的情況
,事實上,根據他們的追蹤,這些駭客從去年7月開始,存取其中3臺主機,濫用微軟辦公
室軟體Office的舊版輸入法編輯器(IME)檔案,以及已知漏洞CVE-2018-0824,將惡意程
式ShadowPad、Cobalt Strike,以及其他後續作案的攻擊工具植入這個研究機構當中,至
少有11天之久,但究竟有多少資料遭竊,思科並未透露。
,事實上,根據他們的追蹤,這些駭客從去年7月開始,存取其中3臺主機,濫用微軟辦公
室軟體Office的舊版輸入法編輯器(IME)檔案,以及已知漏洞CVE-2018-0824,將惡意程
式ShadowPad、Cobalt Strike,以及其他後續作案的攻擊工具植入這個研究機構當中,至
少有11天之久,但究竟有多少資料遭竊,思科並未透露。
對於這起事故的發現,研究人員指出,當這些駭客取得初始的存取權限後,他們開始在電
腦執行惡意程式碼以便持續在該機構網路環境活動,在網頁伺服器植入Web Shell而能進
行偵察並下達命令,最終部署惡意程式,而根據散布惡意程式的手法,研究人員大致區分
成3種型態,包含了使用Web Shell、遠端桌面存取(RDP),以及反向Shell。
腦執行惡意程式碼以便持續在該機構網路環境活動,在網頁伺服器植入Web Shell而能進
行偵察並下達命令,最終部署惡意程式,而根據散布惡意程式的手法,研究人員大致區分
成3種型態,包含了使用Web Shell、遠端桌面存取(RDP),以及反向Shell。
研究人員提到,當駭客在試圖投放ShadowPad部分元件的過程裡,遭到受害主機上思科的
資安防護系統攔截,於是駭客改變手法試圖繞過,並從架設在主機代管業者戰國策(
www.nss.com[.]tw)的C2伺服器下載Cobalt Strike。駭客使用能夠回避防毒軟體偵測的
惡意程式載入工具,來啟動Cobalt Strike。
在入侵的過程裡,駭客嘗試執行惡意程式UnmarshalPwn來利用CVE-2018-0824。此外,一
旦後門成功部署,他們就會立刻清除Web Shell,或是用來存取的Guest帳號,研究人員指
出,這些駭客相當謹慎。
旦後門成功部署,他們就會立刻清除Web Shell,或是用來存取的Guest帳號,研究人員指
出,這些駭客相當謹慎。
接著,這些駭客對於受害組織的網路環境進行偵察,過程中使用53781埠,但為何這麼做
,研究人員表示不清楚。
而對於駭客使用的惡意程式,研究人員提及駭客載入ShadowPad的方式出現新手法,那就
是運用13年前的IME檔案imecmnt.exe來進行。
再者,前述提到用來啟動Cobalt Strike的惡意程式載入工具,則是源自中國開源專案,
而該專案設置的目的本來就是防止Cobalt Strike遭到防毒軟體攔截,駭客幾乎可說是拿
現成的工具加以利用。研究人員提到,駭客下載、解密、執行Cobalt Strike Beacon的過
程,完全在記憶體內執行,而不會在磁碟留下痕跡
而該專案設置的目的本來就是防止Cobalt Strike遭到防毒軟體攔截,駭客幾乎可說是拿
現成的工具加以利用。研究人員提到,駭客下載、解密、執行Cobalt Strike Beacon的過
程,完全在記憶體內執行,而不會在磁碟留下痕跡
https://www.ithome.com.tw/news/164297
臺灣研究機構遭中國駭客組織APT41攻擊 | iThome
![[圖]]()
研究人員公布去年中國駭客組織APT41針對臺灣政府機關所屬的研究機構從事攻擊的資安事故,值得留意的是,駭客利用舊版微軟Office隨附的IME元件,以及開源的迴避偵測工具來躲過防毒軟體的攔截 ...
![[圖]](https://s4.itho.me/sites/default/files/field/image/apt41-unmarshalpwn-156.jpg)
備註:
簡單來說這是利用舊版office漏洞植入的惡意程式。
而且成功執行惡意程式後,會將所有痕跡清除(包含登入log,執行過程產生的檔案)
只能說只要網路有對外,沒必要守著舊系統繼續用
該新就更新,Win10明年也要到期了,還沒更新的趕緊吧
TPM2.0也能繞過,舊機還是能升11
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.115.82.192 (臺灣)
※ 作者: nk11208z 2024-08-06 19:47:10
※ 文章代碼(AID): #1ciWr0WZ (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1722944832.A.823.html
噓 : 還在忙外包 沒空1F 27.52.33.57 台灣 08/06 19:47
推 : 名字是學AKB48的嗎?2F 180.177.33.135 台灣 08/06 19:48
推 : 反正鬼島早就沒秘密了4F 223.138.167.128 台灣 08/06 19:49
→ : 政府單位winxp再戰10年5F 126.168.182.130 日本 08/06 19:49
噓 : 為啥被駭的政府機構不知道,而是你思科在發新聞?業味真重6F 114.40.55.110 台灣 08/06 19:50
→ : 不重要,重點在 台灣這邊有沒有攻回去?8F 101.10.97.136 台灣 08/06 19:52
→ : 中國駭客真的跟微軟感情很好 促進買氣^^9F 103.59.108.77 台灣 08/06 19:53
→ : office的受害者10F 114.25.155.64 台灣 08/06 19:53
→ : 開始能理解許多台灣企業用蘋果的原因了11F 103.59.108.77 台灣 08/06 19:53
→ : 以牙還牙以眼還眼啊 中共來搞就搞回去嘛連共機共艦都沒打掉 抗中也做點成績吧?12F 101.10.97.136 台灣 08/06 19:53
→ : 又想賴中國14F 42.76.143.233 台灣 08/06 19:56
→ : 天才外包大臣:15F 1.34.209.106 台灣 08/06 19:56
--