数年前奥义智慧共同创办人邱铭彰曾在台湾资安大会上,其中一个是中国骇客组织ChamelGang,在2023年锁定东亚政府机关及位于印度次大陆的航空组织,过程中使用名为BeaconLoader的恶意程式。他们进一步追查发现,2022年底锁定巴西总统和全印度医学科学院(All India Institute of Medical Sciences,AIIMS)的勒索软体事故,很有可能就是这些骇客所为。
他们找到这些骇客在2022年底的攻击事故当中,使用勒索软体CatB的证据。而这样的结果,与台湾资安业者TeamT5根据程式码、暂存机制、恶意程式签章、图示等特征进行比对,认为CatB与该骇客组织相关的结果一致。
值得留意的是,这些骇客过往曾对俄罗斯关键基础设施,以及台湾、日本、美国等国家的政府机关出手,相关威胁动态相当值得我们留意。
研究人员发现中国骇客组织ChamelGang使用勒索软体CatB的攻击行动之余,他们也看到有人滥用合法资料保护工具进行寄生攻击(LOLBins),加密档案进行勒索的手段。这些工具包含了资料保护暨清除业者Jetico推出的BestCrypt,以及微软于视窗作业系统内建的BitLocker。
滥用上述资料保护工具的攻击行动,大致发生在2021年初至2023年中期,研究人员确认至少有37个企业组织受害,根据这些组织的地理位置,有30个位于美国,但也有南美及欧洲的组织。从产业类型来看,制造业是头号目标,但教育、金融、食品、医疗照护、营造也有组织受害。