【資安日報】9月26日,駭客組織Stealth Falcon針對中東政府機關下手,散布後門程式Deadglyph
· 2023-09-26

鎖定中東地區的攻擊行動引起研究人員關注,有研究人員揭露新型態的後門程式Deadglyph,該程式的開發方式、運作方式相當特殊,駭客企圖藉此回避資安系統偵測

資安業者ESET揭露駭客組織Stealth Falcon(亦稱Project Raven、FruityArmor)最近的攻擊行動,駭客利用名為Deadglyph的後門程式,鎖定中東的政府實體下手,此軟體由64位元執行檔及.NET元件組合而成,並透過特定的金鑰進行加密保護,而植入電腦的後門程式與C2連線方式相當特殊,是透過在記憶體內運作的附加元件,來動態接收攻擊者下達的命令。

一旦此後門程式開始執行,會啟動Shell Code載入工具,做為初始化元件,攻擊者從登錄檔載入特定的Shell Code,從而開啟後門程式的64位元執行檔(研究人員稱為Executor元件),而該程式又會啟動名為Orchestrator的.NET元件,以便從C2接收命令,這些工作排程主要涵蓋3種類型,分別是由Executor執行的工作、Orchestrator執行的工作,以及上傳工作。

研究人員指出,他們尚未確定駭客如何散布此後門程式,但駭客透過兩種不同程式語言開發而成的元件,並透過附加元件接收C2的命令,並且具備自我刪除等特性,使得該後門程式難以被資安系統察覺。

駭客組織Sandman鎖定電信業者散布惡意軟體LuaDream

資安業者SentinelOne、QGroup聯手,調查駭客組織Sandman的攻擊行動,該組織主要針對中東、西歐、南亞次大陸的電信業者而來,利用Lua程式語言的即時編譯系統LuaJIT打造後門程式LuaDream,竊取系統及使用者資訊,以便發動更進階的精準攻擊。

一旦攻擊者成功入侵目標組織的網路環境,就會利用Pass-the-Hash攻擊手法,重用存放於記憶體內的NLTM雜湊值對遠端伺服器進行身分驗證。研究人員指出,遭到駭客鎖定的工作站電腦,皆會指派給駭客組織的管理階層。

而對於後門程式的分析,LuaDream由34個元件組織,其中有13個是核心元件,其餘為支援元件,其運作方式是透過ffi程式庫來呼叫LuaJIT的位元組碼(Bytecode)及Windows API

烏克蘭軍方遭到鎖定,駭客利用無人機手冊當誘餌,散布惡意程式

資安業者Securonix揭露鎖定烏克蘭軍方而來的網路釣魚攻擊Stark#Vortex,駭客組織UAC-0154透過電子郵件挾帶Windows說明檔案(CHM),聲稱是提供軍隊無人機訓練資料,一旦收信人開啟附件檔案,就會看到以烏克蘭語編寫的DJI Mavic 3說明文件,然後電腦可能觸發CHM檔案裡的JavaScript程式碼,執行PowerShell命令,從C2伺服器下載惡意酬載,經解碼該惡意酬載就會產生惡意框架MerlinAgent的Beacon元件,從而讓攻擊者控制受害電腦。

研究人員指出,由於無人機、無人駕駛的飛行器(UAV)已成為烏克蘭軍方不可或缺的工具,使得謊稱具有操作訓練內容的誘餌檔案隨之出現,這類文件檔案也可能讓軍人容易掉以輕心。

中國、北韓駭客組織鎖定美國衛生機構及醫療產業而來

美國衛生暨公共服務部所屬的網路安全協調中心(HHS HC3)指出,中國駭客組織APT41、北韓駭客組織APT43(亦稱Kimsuky、Thallium)與Lazarus針對該國的公共衛生部門與醫療系統造成重大威脅。

其中,APT41得到中國政府資助,使用的攻擊手法非常複雜、創新,對美國公衛部門下手的動機,往往是為了配合中國政府的5年發展政策,扶持該國的醫療產業研發而來,他們通常會對醫療裝置子公司所採用的軟體或資訊科技感興趣,並入侵與這些公司有關的系統,部署鍵盤側錄程式Gearshift。這些駭客也鎖定生技公司下手,透過遭竊的帳密入侵,盜取人力資源資訊、稅務資料、臨床測試、學術研究、研發相關資訊。

而對於來自北韓駭客的威脅,HHS HC3指出,APT43擅長鎖定醫療產業進行社交工程、網路釣魚、收集帳密資料,並從事加密貨幣洗錢來籌措攻擊行動資金,之所以鎖定健康相關部門下手,目的是援助北韓流行疾病的因應工作;另一個駭客組織Lazarus,則是從事間諜行動、盜取智慧財產資料,包含COVID-19疫苗及相關醫療資訊。

逾40家拉丁美洲銀行客戶遭到木馬程式BBTok鎖定

資安業者Check Point揭露近期的銀行木馬BBTok攻擊行動,駭客主要鎖定巴西與墨西哥等逾40家拉丁美洲的銀行用戶下手,該木馬複製網路銀行的系統使用介面,進而誘騙使用者輸入雙因素驗證碼(2FA)、支付卡的資料,然後將銀行用戶的戶頭洗劫一空。

攻擊者利用釣魚郵件,挾帶ZIP附件或惡意連接,一旦收信人開啟,就有可能執行PowerShell指令碼,從遠端伺服器下載惡意程式,同時向收信人顯示誘餌文件檔案。研究人員指出,為了迴避偵測,駭客運用多種攻擊手法,當中包含了寄生攻擊(LOLBins),並且針對Windows 7、Windows 10作業系統繞過反惡意程式碼掃描介面(AMSI)及防毒軟體,然後檢查受害電腦所在的地理位置。

值得留意的是,駭客的行動相當謹慎,所有盜取銀行帳戶存款的流程,都是由駭客透過C2下達命令,而非透過惡意程式自動化執行。 

 

【資安防禦措施】

資訊服務採購作業指引9月25日正式上路,明訂公部門編列專屬資安預算

9月25日行政院公共工程委員會發布公告,為協助公部門更為即時、有效強化資訊安全,並辦理有關的資訊服務採購,他們與數位發展部規畫的「資訊服務採購作業指引」、「各類資訊(服務)採購之共通性資通安全基本要求參考一覽表」正式上路。此作業指引涵蓋四大重點:(一)機關需編列獨立資安預算、(二)擴大工程會採購諮詢機制並納入數位發展部、(三)資服採購以不訂底價最有利標為原則、(四)開發過程需設定查核點。

行政院公共工程委員會指出,考量機關按上述指引及表單辦理資訊服務採購,廠商也要配合調整,為使廠商能夠有充分時間因應,根據資料或系統的機敏程度,普級系統之資安要求訂於2024年3月1日正式施行,中、高等級則訂於2024年8月1日正式施行。

1. https://www.ithome.com.tw/article/158898
2. https://planpe.pcc.gov.tw/prms/explainLetter/readPrmsExplainLetterContentDetail?pkPrmsRuleContent=75001760&_csrf=41c91031-1b1a-45e1-8814-ff2f59c93227

數位部預告修正資安法,明訂公部門禁用危害國家安全的資安產品

9月22日數位發展部預告將修正資通安全管理法,修法草案包含5大重點:(一)主管機關調整為數位部、(二)要求公務機關不可採購與使用危害國家資通安全產品、(三)強化公務機關資安,導入地方資安及分層管理、(四)強化關鍵基礎設施、公營事業或特定法人等特定非公務機關的資安管理,特定非公務機關應設置資安長、(五)政府機關資安人員採行一條鞭制度,重大資安事件資安署可調度各機關資安人員支援。

 

Popular articles
Online gambling, crypto pose ongoing money laundering risks in Philippines, analyst says
Southeast Asia
Brazil Proposes Raising Gambling Tax Rate to 24%, With Revenue Allocated to Social Security and Healthcare
Regulation
GAT CDMX 2025 Institutional Academy: Leaders and Experts Analyze the Present and Future of the Gaming Industry in Mexico and Lat
Sports Game
Full House at GAT Expo Cartagena 2026 Academic Agenda
Online Game
DB Gaming Is One of Asia’s Top-Tier Game Solution Providers, Recognized as a Pioneer in the Asian Gaming Industry.
Marketing
Kazakhstan plans to penalise online casino promotions
Regulation
Vietnam’s Controlled Gaming Shift Gains Ground, But Domestic Demand Still Lags
Southeast Asia
GAT Expo Puerto Rico Will Pulse with the New Era of Gaming in the Caribbean
Marketing
1spin4win grows its Latin American presence by partnering with Fortuna Juegos
Online Game
B2B Tech Infrastructure Gains Momentum in Philippine Gaming Sector
Southeast Asia
1spin4win releases unique slot Don Catleone Hold and Win featuring gangster cats
Online Game
New Jersey July Gambling Revenue Hits $606M, Sweeps Casinos Banned
Regulation
Institutional Academy that exceeded expectations marked the opening of GAT CDMX
Online Game
SBC Summit Canada to Make Player Safety a Key Pillar of 2026 Agenda
Marketing
Gaming & Technology Expo Makes a Powerful Entrance in CDMX
Marketing
Home
Game
Cooperation
Find
My