中国骇客组织Salt Typhoon针对多家美国电信业者发动攻击的事故,自去年9月曝光后,不断有新的消息传出,截至目前为止,传出资安业者Recorded Future透露,这些骇客去年底将攻击目标扩及全球各地的电信业者,并透过思科网路设备已知漏洞CVE-2023-20198、CVE-2023-20273取得初始入侵管道。
【攻击与威胁】
去年9月传出中国资助的骇客组织Salt Typhoon(也被称为Earth Estrie、FamousSparrow、Ghost Emperor)攻击美国多家电信业者的情况,后来美国政府证实确有此事,并指出骇客的目的是收集特定政治人物的通讯内容。究竟骇客如何入侵电信业者?有资安业者指出是利用思科网路设备的弱点得逞。
资安业者Recorded Future指出,他们从去年12月至今年1月,发现Salt Typhoon专门针对尚未修补的思科网路设备而来的攻击行动,目标是全球的电信业者。这些骇客利用的漏洞,包含在2023年出现大规模攻击行动的CVE-2023-20198,以及思科后续公布的漏洞CVE-2023-20273(CVSS风险分别为10分、7.2分),成功利用后就会窜改网路设备的组态,部署通用路由封装(Generic Routing Encapsulation,GRE)隧道,以便能持续存取受害装置。
对于这起攻击行动的范围,Recorded Future看到骇客对全球超过1千台网路设备试图发动攻击,这些设备遍布超过100个国家,但有超过半数位于美国、南美洲及印度。由于全球有1.2万台思科设备的网页管理介面曝露于网际网路,骇客仅对于其中8%发动攻击,这样的情况显然是针对性的攻击行动。
自乌克兰战争开打以来,多个俄罗斯骇客组织配合军事行动从事相关攻击行动,并将目标转向乌克兰,以及声援、提供军事援助的国家,如今有研究人员揭露最近几年的观察,指出骇客锁定的目标、攻击手法也出现变化。
微软揭露俄罗斯骇客的攻击行动BadPilot,该组织有多个名号,像是:Seashell Blizzard、Sandworm、APT44,而且是由该组织旗下子团体发起,BadPilot至少从2021年开始活动,锁定能源、石油、天然气、电信、航运、武器制造、国际组织及政府下手。研究人员指出,从2022年2月俄罗斯对乌克兰正式发起军事行动起,这些骇客主要锁定乌克兰及盟友而来,并在2023年对乌克兰从事至少3次破坏性的攻击。
到了2024年初,这些骇客的攻击手法有所变化,他们主要利用远端桌面连线软体ConnectWise ScreenConnect漏洞CVE-2024-1709、Fortinet端点防护管理平台FortiClient EMS漏洞CVE-2023-48788(CVSS风险10分、9.8分),同时,这些骇客也将攻击目标集中于美国、加拿大、澳洲、英国。
微软、资安业者Securonix针对近期1组北韩骇客的攻击行动提出警告,该组织有多种称号,例如:Kimsuky、APT43、Emerald Sleet、TA427、Velvet Chollima,这些攻击行动的共通点在于,骇客都使用了PowerShell命令散布恶意程式的有效酬载,而且都是针对韩国的企业组织与政府机关而来。
12日微软表示,今年1月看到这些骇客锁定一定数量的目标从事网钓攻击,看到这些骇客锁定一定数量的目标从事网钓攻击,假借使用者注册装置为由,要求使用管理员权限执行PowerShell,并复制、贴上特定的程式码并执行。
无独有偶,13日Securonix也揭露持续针对韩国企业、政府机关、加密货币持有人的攻击行动Deep#Drive,Kimsuky以工作日志、保险文件、加密货币相关资料为诱饵,寄送以韩文书写的钓鱼信,骇客挟带HWP、XLSX、PPTX等当地办公室软体常见格式的档案,并利用Dropbox等常见的公有云平台代管有效酬载,而能成功回避一般的安全防御机制。
资料搜寻及分析业者Elastic旗下的资安实验室指出,他们在去年11月下旬,察觉针对南美国家外交部而来的攻击行动Ref7707,骇客运用恶意软体FinalDraft、GuidLoader、PathLoader,搭配不寻常的寄生攻击(LOLBin)攻击手法,并重度使用云端及第三方服务架设C2。
究竟攻击者如何入侵受害的外交单位?研究人员并未说明,但他们提及骇客利用Windows元件certutil进行寄生攻击,从远端伺服器下载作案工具,但特别的是,这个代管相关档案的伺服器,竟位于受害组织的内部环境,而非位于网际网路。
研究人员指出,FinalDraft是全功能的远端管理工具,并能搭配附加模组增加功能,而特别的是,攻击者建立C2通讯的管道,是滥用微软的Graph API来进行,使得相关攻击流量都通过微软的基础架构,而能回避网路入侵侦测。
其他攻击与威胁