中國駭客組織APT41滲透全球航運、物流、媒體及娛樂產業
支付動態 · 2024-07-19

本週Mandiant、Google威脅分析團隊(TAG)聯手,公佈中國駭客APT41新的攻擊行動,主要目標是航運、物流、新聞媒體、娛樂產業,值得留意的是,臺灣也有企業組織慘遭毒手

究竟這些駭客如何長時間於受害組織的網路環境持續活動?研究人員指出,對方在Apache Tomcat的管理伺服器當中,植入了AntSword、BlueBeam兩款Web Shell來達到目的。此外,駭客也利用這些Web Shell執行certutil.exe,下載名為DustPan的惡意程式載入工具,從而暗中執行名為Beacon的惡意酬載。

駭客利用DustPan將Beacon載入以chacha20演算法加密的記憶體區塊,一旦Beacon啟動,就會使用Cloudflare Workers做為C2通道,或是以Cloudflare代管的自我管理基礎設施進行通訊。

在APT41的入侵過程裡,他們也運用另一款惡意程式載入工具DustTrap,解密惡意酬載並於記憶體內執行,意圖留下最少的作案痕跡。而該惡意酬載接收駭客命令的方法,主要是透過APT41架設的C2基礎設施,但研究人員也發現利用外流的Google Workspace帳號的情況。

DustTrap則是具備多階段外掛程式的攻擊框架,並能搭配多種元件運作。該惡意軟體的外掛程式載入方式,是藉由木馬化的Windows資料夾DLL程式庫,並搭配大小足夠的.TEXT段落,來存放每個外掛程式的內容,並於記憶體內執行。

值得留意的是,這個遭竄改的檔案在進行內容關閉程式之前,透過.TEXT段落存放的原始檔案內容,就會還原存放到磁碟上,這麼做的目的,自然是為了迴避EDR系統的偵測。研究人員至少發現15種外掛程式,這些可被用於操作Shell、存取檔案、控管處理程式、網路偵察、收集系統資訊、竄改AD設定等工作。

此外,APT41還會濫用名為Sqluldr2的公用程式,從受害組織的Oracle資料庫輸出資料,然後運用名為PineGrove的惡意程式,透過有系統與高效率的方式,將竊得資料外傳至雲端檔案共用平臺OneDrive,以便進一步解讀、分析。

對於PineGrove的功能,研究人員指出是用Go語言打造的命令列上傳工具,並透過OneDrive的API上傳檔案,此惡意程式須搭配可用於身分驗證的JSON檔案,才能正常運作。

熱門文章
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
首頁
遊戲
合作
發現
我的