臺灣企業組織遭到中國駭客Flax Typhoon寄生攻擊
· 2023-08-30

微軟發現新的中國駭客組織Flax Typhoon,疑似對臺灣數十個組織進行間諜活動,駭客企圖利用最少的惡意軟體,來維持對目標組織的網路長期存取

微軟

微軟揭露中國駭客組織Flax Typhoon約自2021年中發起的攻擊行動,其主要目標是臺灣的政府機關、教育機構、重要製造商、資訊科技組織等數十個單位,但研究人員也有看到東南亞、北美、非洲的組織受害。

這些駭客鎖定可透過網際網路存取的伺服器,例如:VPN主機、網頁伺服器、SQL Server資料庫等,利用已知漏洞取得初期存取的權限,然後部署大小僅有4 KB的Web Shell中國菜刀(China Chopper),以便遠端執行命令,過程中駭客可能為了提升權限,他們會透過開源程式Juicy Potato或BadPotato來利用系統的已知漏洞,取得管理者層級的權限。

接著,駭客利用登錄檔關閉網路層身分驗證(NLA),且透過粘滯鍵(Sticky Keys)建立遠端桌面連線(RDP),而能夠持續存取受害伺服器,甚至取得啟動終端機、導出記憶體內容的能力。

濫用開源VPN應用程式建立新的存取管道,並進一步用來攻擊其他受害電腦

特別的是,駭客為了跳脫他們設計的RDP只能存取內部網路的限制,再度透過寄生攻擊(LOLBins)手法,利用名為Invoke-WebRequest的PowerShell指令碼,或是Bitsadmin、certutil,部署SoftEther的VPN用戶端程式。再者,駭客也透過WinRM、WMIC來進行橫向移動。

攻擊者為了避免建立的VPN連線被發現,他們採取了多種措施。在部署之前,駭客會調查企業環境裡存在的VPN應用程式;再者,在大部分的攻擊行動裡,駭客會將VPN應用程式的可執行檔重新命名成Windows元件的名稱,如:conhost.exe或dllhost.exe,這些分別是名為Console Window Host Process、Component Object Model Surrogate元件的檔案名稱。其次,他們濫用SoftEther的VPN-over-HTTPS操作模式,使得相關網路流量被封裝成相容於HTTPS的資料,並透過TCP通訊協定443埠進行傳輸。如此一來,企業組織難以識別這種VPN連線與一般的HTTPS流量

而上述的VPN連線駭客還進一步加以利用,透過SoftEther的VPN橋接功能,將網路攻擊流量路由到其他的受害系統,這些流量被用於網路掃描、漏洞掃描、弱點嘗試利用等。

一旦駭客成功建立上述的VPN存取管道,通常他們就會利用Mimikatz,鎖定本機安全認證子系統服務(LSASS)處理程序占用的記憶體內容、安全性帳號管理員(SAM)登錄檔配置的內容,來竊取本機用戶的密碼雜湊值,然後進一步存取受害組織網路環境的其他資源。此外,駭客還會列舉系統還原功能的還原點,目的是從中了解受害電腦狀態,或是抹除惡意活動的跡象。

熱門文章
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
英國確認各垂直行業的賭博稅稅率
合規與政策
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
首頁
遊戲
合作
發現
我的