趋势科技

黑客组织Earth Kasha近日以后门程序，攻击包括Array Networks、Fortinet等多家品牌SSL VPN设备，已有台湾、日本及印度等地企业受害。

这波攻击背后的黑客组织是中国黑客组织Earth Kasha，之前曾以精准钓鱼信件攻击公立机构和学术单位，主要活动地区在日本。趋势科技今年初发现，Earth Kasha发展出新的攻击策略和技俩，从2023年起开始运用企业防火墙软件漏洞植入后门程序Lodeinfo。研究人员发现，遭到滥用的SSL VPN防火墙漏洞包括Array AG/vxAG（CVE-2023-28461）、Fortinet的FortiOS/FortiProxy（CVE-2023-27997），此外，黑客也滥用了FTP系统Proself漏洞CVE-2023-45727。

除了使用新手法，Earth Kasha的攻击目标也更广，从原本的日本扩大到台湾和印度。趋势科技两地都有知名组织用户，包括先进科技和政府单位受害。多数案例中，Earth Kasha成功骇入企业组织的网域管理员帐号，并在多台网络机器内植入Cobalt Strike、Lodeinfo及Noopdoor，借此创建长期渗透管道，并从事数据搜集，其中他们使用自制恶意程序MirrorStealer取得存储在邮件用户端、浏览器、群组政策偏好，以及SQL Server Managemen Studio中的凭证。

Earth Kasha于2019年首先使用后门程序Lodeinfo作案，今年另一个中国黑客组织Volt Typhoon又攻击FortiOS/FortiGate的零时差漏洞CVE-2023-27997。但有于其他厂商，趋势科技认为从手法、工具等线索来看，两者并非同一群人。因此从两者都滥用FortiOS漏洞信息及使用Lodeinfo，显示黑客之间也会共享零时差漏洞及攻击资源。

Fortinet已在今年6月修补CVE-2023-27997，而Array Networks也在今年3月发布最新版ArrayOS AG 9.4.0.484解决漏洞。