荷蘭全球網絡威脅情報公司EclecticIQ的最新報告發現,中共國家支持的黑客偽裝成台積電公司(TSMC)發送釣魚郵件給台灣、香港和新加坡的半導體公司。
一旦收信人點開釣魚文件,電腦就會啟動名為HyperBro的惡意程序(後門),然後再被用作部署商業攻擊模擬軟件和後續利用工具包的管道。
周四(10月5日)發表的報告說,這些釣魚郵件意在散布Cobalt Strike信標。過去,多個黑客組織APT使用Cobalt Strike工具滲透。Cobalt Strike是一款基於Java編寫的全平台多方協同後滲透攻擊框架。
根據報告,HyperBro會透過網絡安全公司的CyberArk應用程式執行檔vfhost.exe,進行DLL側載(DLL Side-loading),然後在內存(In-memory)上執行Cobalt Strike的Beacon元件。
研究人員對Beacon元件進行分析後發現,黑客在利用過往未被揭露的惡意程式下載工具進行滲透。
這個工具透過Windows內建的PowerShell及BitsTransfer模組,從已被入侵的中國的億賽通(EsafeNet)公司Cobra DocGuard加解密伺服器取得惡意程序。接著,在安裝啟動該惡意程序之後,一個名為ChargeWeapon的Go程式植入程序會通過下載器進行分發,使得黑客可以藉此取得受害人電腦的信息。
EclecticIQ研究員比尤卡亞(Arda Büyükkaya)在周四的分析中表示:「ChargeWeapon旨在獲得遠端存取並將設備和網絡資訊,從受感染的主機發送到攻擊者控制的(命令和控制)伺服器。」
中共黑客還會利用另一家網絡安全公司McAfee簽章的可執行檔mcods.exe,運用DLL側載手法執行Cobalt Strike的Shell Code。Shell Code連線的C2伺服器IP位址與HyperBro一模一樣。
報告說,這表明中共黑客設計了多種方法來滲透感興趣的目標對象。
這家荷蘭網絡安全公司研判,這項活動與中共國家支持的黑客有關,而且黑客幾乎完全由名為Lucky Mouse(又名APT27、Budworm 和Emissary Panda)的黑客組織使用。
在EclecticIQ記錄的攻擊鏈中,HyperBro執行後會顯示一份以台積電為主題的PDF文件。
比尤卡亞解釋說:「通過在後台秘密運行惡意軟件的同時提供外觀正常的PDF,可以最大程度地減少受害者產生懷疑的可能性。」
美國國防部9月份發布的一份報告稱,北京對美國構成了「廣泛而普遍的網絡間諜威脅」,稱中共竊取技術機密並進行監視活動以獲得戰略優勢。
國防部表示:「中華人民共和國利用網絡手段,對關鍵防禦網絡和更廣泛的美國關鍵基礎設施,特別是國防工業基地(DIB)進行了長期的間諜、盜竊和妥協活動。」#
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
