针对三组中国黑客锁定东南亚发动的攻击行动,黑客趋于倾向利用公开工具隐匿行踪
支付動態 · 2024-09-11

研究人员针对中国政府主导的大规模网络间谍攻击行动Operation Crimson Palace公布最新发现,黑客不断与资安人员过招,改用公开的工具来从事攻击行动,企图持续在受害组织活动

今年6月资安业者Sophos揭露中国政府主导的网络间谍行动Operation Crimson Palace,相关攻击行动发生在去年3月至12月,大致可归为3波:Cluster Alpha(STAC1248)、Cluster Bravo(STAC1807),以及为期最长的Cluster Charlie(SCAT1305),至少有4个黑客组织参与。如今他们公布新的调查结果,指出这些黑客更换作案工具,持续从事相关攻击行动。

本周研究人员指出,他们看到这3波攻击行动的后续,其中最引起注意的是Cluster Charlie,在研究人员阻止黑客使用的C2植入工具PocoProxy运作之后,这波攻击在去年8月消声匿迹,但黑客在9月底卷土重来,并使用与过往不同的手法来回避侦测。

黑客先是使用不同的C2信道避免再度遭到封锁,然后改变攻击方式,他们使用名为Hui的恶意程序加载工具,然后将Cobalt Strike的Beacon注入远程桌面连接程序mstsc.exe。但在研究人员察觉并进行阻断后,黑客改用公开的软件试图继续于受害组织的网络环境活动。

由于研究人员封锁了C2工具,黑客改以事先取得的外流帐密数据,滥用网页应用程序的上传功能部署Web Shell,借此在服务器上运行命令,将特定的DLL程序库拷贝到网页文件夹,并将其伪装成PDF文件,而这些活动包括进行侦察的过程,黑客总共在45分钟内完成,算是相当迅速。

事隔2个月,这些黑客再度存取受到感染的网页服务器,并通过Web Shell部署名为Havoc的开源C2框架进行后续侦察。后来,研究人员也看到其他应用程序服务器被植入Web Shell及Havoc的情况,其中他们看到利用Havoc植入名为SharpHound的开源工具,来侦察AD基础架构的情形。

除此之外,他们也看到这些黑客运用其他攻击行动的工具作案。去年10月,黑客使用DLL挟持手法部署C2工具,并滥用含有漏洞的合法软件,借由受害组织尚未列管的设备从事远程攻击,过程中使用网络探测工具Impacket的模块atexec来进行,目的是想要从外部进行远程桌面连接(RDP)来存取内部网络环境。

接着,黑客进一步寻找能用来进行DLL侧载的服务,并采用DLL挟持手法来设置后门,使用恶意酬载取代磁盘区阴影拷贝服务的DLL组件。后来到了12月,这些黑客利用DLL侧载手法,借由iexplore.exe加载恶意软件,目的是窜改防火墙配置。研究人员指出,这些黑客进行一系列的侦察和收集帐密工作,并取得网络基础架设的配置数据。

研究人员指出,这些黑客使用了Cluster Alpha常见的DLL侧载手法,代表从事这3个攻击行动的黑客彼此互通有无,并不断开发新的回避侦测手法。

热门文章
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
BETFAIR 网络攻击80万用户资料泄露
游戏风向
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
准备好了将你的收益最大化吗?尝试ProPush.me Constructor!
广告营销
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
首页
游戏
合作
发现
我的