趨勢科技揭露Salt Typhoon攻擊電信業者的惡意程式GhostSpider
支付動態 · 2024-11-26

針對近期中國駭客Salt Typhoon傳出對多家美國電信業者從事網路間諜攻擊的情況,趨勢科技表示,這些駭客近期使用名為GhostSpider的後門程式,並使用TLS連線進行通訊,而能在隱密的狀態下從事活動

華爾街日報自9月底開始,多次針對中國駭客組織Salt Typhoon(也被稱為Earth Estries、GhostEmperor、FamousSparrow)攻擊美國電信業者的情況進行報導,受害業者包含AT&T、Lumen、T-Mobile、Verizon,傳出美國政府已著手調查此事,而且,這些駭客的目標還包含其他國家的電信業者。但究竟這些駭客如何發動攻擊?最近有研究人員公佈調查結果。

資安業者趨勢科技指出,根據他們自2020年開始的追蹤,這些駭客持續針對政府機關及網際網路服務供應商(ISP)進行長期攻擊,並指出2022年也開始針對電信公司。研究人員認為,駭客從事攻擊行動的目的,是為了更有效收集相關情報。

他們發現對方主要鎖定的標的,包含電信公司使用的資料庫、雲端伺服器等重要服務,以及服務供應商的網路環境,駭客會試圖植入名為Demodex的rootkit程式,目的是希望藉此增加存取受害電信業者的管道。

在近期攻擊東南亞電信業者的事故裡,這些駭客使用多款後門程式,其中包含未被揭露的GhostSpider、模組化的SnappyBee(Deed RAT)、跨平臺的Masol RAT。根據他們的追蹤,駭客的攻擊行動,根據鎖定的產業類型,大致上可區分為兩種類型Alpha、Beta,其中的Beta攻擊是針對電信業者及政府機關而來。

無論是那一種攻擊行動,駭客取得初始入侵管道的方法,主要都是針對曝露於網際網路的應用程式伺服器,並利用已知漏洞來達到目的,這些包含Ivanti Connect Secure漏洞CVE-2023-46805和CVE-2024-21887、FortiClient EMS的SQL注入漏洞CVE-2023-48788、Sophos防火牆漏洞CVE-2022-3236,以及ProxyLogon(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)。

在Beta攻擊行動裡,駭客初期利用網頁伺服器或是ProxyLogon,取得相關帳密然後控制目標電腦。

接著,他們主要使用Demodex長期埋伏於受害組織的網路環境,在近期的攻擊行動裡,對方透過DLL挾持手法載入GhostSpider,此後門程式使用TLS通訊協定,從C2接收藏匿於HTTP標頭及cookie的命令,而能將攻擊流量混入合法流量

而對於攻擊行動Alpha的部分,研究人員提及是針對臺灣的政府機關及化學公司而來,駭客從C2伺服器下載惡意工具,並透過寄生攻擊進行橫向移動。

熱門文章
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
首頁
遊戲
合作
發現
我的