中國駭客組織針對亞洲電信業者植入後門,嘗試竊取帳密資料
支付動態 · 2024-06-25

研究人員揭露一起專門鎖定特定國家電信業者的網路間諜行動,攻擊者已在這些公司活動長達3至4年,試圖竊取各式帳密,以便進一步橫向移動到其他設施

資安業者賽門鐵克揭露中國駭客組織鎖定特定亞洲國家電信業者的網路間諜活動,這些駭客在受害公司的網路環境植入後門程式,並試圖竊取各式帳密資料。

研究人員指出,對方的攻擊行動至少可追溯至2021年,不過,他們掌握2020年已有部分活動的證據。而對於攻擊目標的部分,雖然駭客主要是鎖定電信業者,但是也有提供電信業者服務的公司,以及另一個國家的大學受害。

究竟對方的目的為何,研究人員表示並不清楚,但很有可能是為了收集特定國家的電信行業情報,甚至進行監聽,也不排除對當地關鍵基礎設施進行破壞;而對於攻擊者的身分,他們也推測有幾種可能,有可能是多組人馬進行合作,或是不約而同發動攻擊;也有可能是未被發現的駭客組織出手,並使用其他團隊提供的作案工具犯案。

針對駭客使用的作案工具,研究人員提及3個後門程式Coolclient、Quickheal、Rainyday,其共通點是和中國駭客組織有所關連,但究竟這些駭客如何運用這些後門程式,研究人員並未進一步說明。

其中,Coolclient與中國駭客組織Mustang Panda(也稱做Earth Preta)有關,駭客將影音播放程式VLC Media Player的主程式,偽裝成Google應用程式的更新工具(googleupdate.exe),然後使用側載的方式執行惡意程式載入工具,從而解密Coolclient,並注入winver.exe的處理程式執行。

另一個名為Quickheal的後門程式,則與名為Neeedleminer(或叫做RedFoxtrot、Nomad Panda)的中國駭客組織有關。對方使用的版本,是名為RasTls.dll的32位元檔案,大致與資安業者Recorded Future在2021年公佈後門程式的相同,主要差異是編譯組態不同,並使用VMProtect進行程式碼混淆處理。

第3個後門程式Rainyday,過往曾有名為Firefly(Naikon)中國駭客組織使用。在這起攻擊行動當中,駭客多半濫用防毒軟體F-Secure的主要元件fsstm.exe,以側載的方式啟動惡意程式載入工具,而該工具企圖挾持可執行檔使用的記憶體位置,藉由該執行檔載入特定檔案,用來解開惡意酬載並以Shell Code的模式執行。

特別的是,雖然駭客濫用F-Secure防毒軟體的元件,但部分版本的惡意酬載,卻是用卡巴斯基實驗室的無效憑證簽署。此外,研究人員也看到濫用其他應用程式執行檔來進行寄生攻擊(LOLBin)的情況。

熱門文章
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
英國確認各垂直行業的賭博稅稅率
合規與政策
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
首頁
遊戲
合作
發現
我的