中国骇客组织RedDelta(也被称为Earth Preta、Mustang Panda、TA416)的攻击行动最近几年不断传出,这些骇客往往跟随中国政府的外交策略发动攻击,1月刚出炉最新的资安厂商调查结果,再度印证这样的活动方针。
值得留意的是,这些骇客两年前因中国政府声援俄罗斯攻击欧洲各国,但自2023年下半,他们将目标转向台湾、蒙古,以及其他东南亚国家。
【攻击与威胁】
资安业者Recorded Future指出,被称为RedDelta、Earth Preta、Mustang Panda、TA416的中国骇客组织,从2023年7月至2024年12月,锁定台湾、蒙古、缅甸、越南、柬埔寨下手,散布特制的PlugX后门程式。
这些骇客运用的诱饵涉及各种时事,例如2023年底曾宣布参选总统的鸿海创办人郭台铭、越南的国定假日、蒙古洪水防治,以及东南亚国家协会(ASEAN)的会议邀请等。研究人员指出,蒙古国防部、越南共产党疑似分别于去年8月、11月遭骇。
根据此次调查结果,研究人员认为RedDelta近两年的攻击目标有了重大调整,因为2022年这群骇客主要锁定欧洲从事相关攻击。他们认为,攻击目标的转移与中国政府的战略变化有关。
人工智慧当红,骇客也将其用于网路犯罪,其中最常见的是产生几可乱真的钓鱼信内容,或是用于制作假讯息网站,甚至也有人用于软体开发的部分,使得攻击者所需的门槛大幅降低,如今有缺乏相关技术的骇客运用AI打造勒索软体。
资安业者Check Point揭露名为FunkSec的勒索软体,该恶意程式大约从去年底开始出没,骇客12月底声称已有85个企业或组织遇害。这波攻击行动所用的技术并不高,研究人员研判当中运用的工具,应该是运用AI辅助开发而成。
研究人员根据攻击者发布的内容与工具,研判里面运用AI帮忙生成,例如,在攻击者公开的指令码当中,研究人员看到里面的注解用了相对完美的英文,在其他媒体却用非常基本的英文,这些注解很可能是由大型语言模型(LLM)代理产生的。
本月初资安业者SafeBreach针对微软12月修补的CVE-2024-49113公布细节及概念验证(PoC)程式码,此漏洞为高风险层级,涉及LDAP服务,攻击者有机会导致Windows伺服器服务中断,有鉴于这项漏洞带来的冲击相当严重,研究人员将这项漏洞命名为「LDAPNightmare」,如今有人假借这项漏洞的名义发动攻击。
资安业者趋势科技提出警告,他们发现有人在GitHub假借提供LDAPNightmare的概念验证程式码,意图对资安研究人员散布窃资软体。根据该公司的调查,这些恶意储存库多半是SafeBreach储存库的分叉(fork),攻击者将原本的Python档案更换为以UPX打包的执行档案poc.exe,意图引诱研究人员下载。
对此,趋势科技提醒资安研究人员,若要研究概念验证程式码,应该要从情报最原始揭露的来源取得相关资料,而非透过分叉的储存库。
资安平台Socket研究人员发现一个伪装成以太坊智慧合约漏洞侦测工具的NPM套件,实际上暗藏了远端存取木马Quasar RAT。Quasar RAT是一个功能强大的远端控制工具,一旦入侵成功,攻击者便可远端操控受感染的电脑,窃取机密资料、监控使用者行为,甚至完全掌控受害者的系统,对开发者造成资料外泄和经济损失。
Socket研究人员发现NPM平台上名为ethereumvulncontracthandler的套件,表面上宣称能协助开发者找出智慧合约中的潜在漏洞,不过在开发者不慎安装此套件之后,恶意程式码便会在开发者的电脑上执行,进而植入Quasar RAT。