随著南北韩的关系越来越紧张,北韩骇客组织的动作频频,其中又以骇客组织Lazarus的攻击行动相当受到研究人员的关注。
例如,在其中一起名为Operation Blacksmith的攻击行动里,这些骇客使用了两种相当罕见的手法,首先,他们在入侵受害组织的管道里,利用了近期鲜少骇客利用的重大漏洞Log4Shell,再者,则是在打造作案工具的程式语言,他们采用的是D语言,目前几乎没有其他骇客以此开发恶意程式。
【攻击与威胁】
研究人员针对这些恶意程式进行分析,NineRAT采用即时通讯软体Telegram的API与C2进行通讯,接收攻击者下达的命令,然后从受害电脑窃取指定的资料,为了回避侦测,攻击者可指定此木马程式休眠时间,以及向Telegram频道查询命令的间隔;另一个木马程式DLRAT,则是在受害电脑启动时会先收集系统基本资讯,如:作业系统、MAC位址等,传送到C2伺服器,以便攻击者下达命令,在受害电脑载入其他恶意软体并执行;至于BottomLoader,则是使用PowerShell取得URL,并下载恶意酬载至受害电脑并执行。 值得留意的是,这起攻击行动骇客入侵目标组织的手段,是两年前被揭露的日志框架系统Log4j重大漏洞CVE-2021-44228(Log4Shell),他们针对曝露于网际网路的VMware Horizon伺服器发动攻击,从而进入组织内部环境。 SentinelOne、微软、PwC威胁情报人员联手,发现遭到LuaDream攻击的受害组织当中,也存在另一款名为Keyplug的恶意程式,但使用这两只恶意程式的骇客并未出现竞争的情况。 有数个中国骇客组织使用Keyplug从事攻击行动,研究人员进一步追查,其中名为Storm-0866(亦称Red Dev 40)的中国骇客组织,与Sandman共用基础设施的控管原则,像是挑选主机代管供应商、网域命名的转换等,再加上LuaDream和Keyplug有许多功能与设计重叠,研究人员推测,两组人马很有可能共用恶意程式开发资源。 12月9日Apache基金会发布资安公告,指出Java应用程式框架Struts存在路径穿越漏洞CVE-2023-50164,影响2.0.0至6.3.0等多个版本,攻击者可借由操纵档案上传的参数来触发漏洞,造成路径穿越的情况,甚至有机会透过上传恶意档案达到远端执行任意程式码(RCE)的目的。该基金会发布2.5.33版、6.3.0.2版Struts予以修补。 近期资安日报