研究人员提到,骇客在使用NoopDoor的攻击行动,同时运用后门程式LodeInfo,然后使用新的后门程式窃取受害组织资料。他们看到骇客的攻击目标是日本的关键基础设施及学术机构,推测骇客的目的是从事网路间谍活动。
仅管这群攻击者会运用不同手段接触目标,但最主要的方式还是使用网路钓鱼,然而,这些骇客现在也开始调整策略,利用漏洞来入侵受害组织,而这样的发现与JPCERT/CC公布资讯互相呼应。
接著,骇客会试图在受害电脑上植入NoopDoor,这个后门程式采模组化设计,并透过网域名称生成演算法(DGA)进行C2通讯。攻击者利用名为NoopLdr的恶意程式载入工具将NoopDoor解密、执行。
为了维持NoopDoor持续在受害电脑运作,骇客根据不同情境,使用了3种方法来达到目的。
其中一种是透过工作排程执行公用程式MSBuild,载入恶意的XML档案,从而在执行时编译、启动恶意程式载入工具。
另一种则是滥用WMI事件,攻击者利用ActiveScript执行JavaScript引擎,触发MSBuild执行NoopDoor的载入工具。
最后一种借由设置恶意服务,载入未经签章的DLL档案来达到目的。
研究人员指出,骇客同时使用LodeInfo、NoopDoor两支后门程式攻击时,很有可能以LodeInfo为主,NoopDoor为辅,而这样的做法让骇客能长时间存取受害组织网路环境。