电信业者遭到骇客组织锁定,长期埋伏于电信网路环境的情况,最近几年陆续有研究人员公布相关的攻击行动,如今又有新的发现。
研究人员发现新的后门程式Gtpdoor,与过往发现的作案工具有所不同的是,骇客组织LightBasin疑似直接使用GPRS隧道通讯协定(GTP)来隐匿流量内容,并将其混入合法流量,而使得电信业者难以侦测该组织从事的网路间谍行动。
【攻击与威胁】
而对于利用该后门程式的攻击者身分,研究人员认为可能是资安业者CrowdStrike揭露的LightBasin(也被称做UNC1945),这些骇客曾被发现对超过13家电信业者下手,从2019年开始从这些厂商的基础设施收集各式资讯。
此恶意程式以DLL挖空手法注入特定的DLL档案执行,为了回避侦测,攻击者以模组化的方式设计此恶意程式,相关的模组、与C2通讯的流量,也使用256位元的RC4金钥进行加密处理。
资安业者Mandiant指出,他们在Ivanti于1月10日公布Ivanti Connect Secure零时差漏洞CVE-2023-46805、CVE-2024-21887之后,发现有中国骇客跟进、利用这些漏洞。
其中1个名为UNC5325的骇客组织,不只使用寄生攻击(LotL)手法来回避侦测,并部署新型态的恶意软体Littlelamb.Wooltea,从而在受害系统进行韧体更新、恢复原厂初始设置后,仍能在受害环境进行活动。研究人员指出,这些骇客在Ivanti公布之前,就利用了另一个漏洞CVE-2024-21893,而在Ivanti公布之后,对方企图将其与CVE-2024-21887串连,造成更大的危害。
根据骇客所使用的程式码,研究人员认为这群人马可能与另一个中国骇客组织UNC3886有关,而该组织主要攻击范围是美国、日本,以及亚太地区,针对国防工业基础设施、科技业者、电信组织,他们推测UNC5325也会对于上述目标发动攻击。
根据TVBS新闻台2月28日的报导,近期暗网出现中华电信与国安单位之间往来的机密文件和公文,卖家声称握有1.7 TB资料,内容涵盖内部文件、逾7千个资料库,政府采购合约等。
这些合约包含:军司令部「租用中新一号后续卫星转频器」、外交部3年前与诺鲁的资通讯合作案会议前摘要、去年海巡署巡护九号舰艇安装和启用卫星通讯的合约,此外,中华电信曾在2021年参与中科院的通资交换节点标案,金额为1,985万元,相关文件被列为机密等级,但可能也因此遭公开。
资料来源
比利时鲁汶大学(KU Leuven)研究人员Mathy Vanhoef与VPN软体测试网站Top10VPN联手,揭露Wi-Fi元件Wpa_supplicant、iNet Wireless Daemon(IWD)的身分验证绕过漏洞。这两个元件目前广泛用于多个Linux作业系统,但安卓、ChromeOS则是只使用Wpa_supplicant,而使得该元件漏洞的影响范围较大。
研究人员在Wpa_supplicant发现了CVE-2023-52160,攻击者可用于建置恶意Wi-Fi网路,并将其伪装成合法网路,然后诱骗使用者进行连线,而有可能挟持他们装置的网路流量,且过程无需用户互动。
另一个存在于IWD的漏洞是CVE-2023-52161,一旦遭到利用,攻击者可用来存取家用或小型企业的Wi-Fi网路,从而攻击网路环境里的装置,或是拦截敏感资料、散布恶意程式。研究人员通报上述漏洞,Google已于ChromeOS 118修补,多个Linux版本也著手上述漏洞。