骇客入侵非营利组织的情况不时传出,最近有一起是因为研究人员进行例行调查意外发现的资安事故,而引起了他们的注意。
资安业者Huntress指出,与越南政府有关的骇客组织OceanLotus(也称做APT32、APT-C-00、Canvas Cyclone)
另一台电脑骇客则是前述攻击的一个半月后开始活动,对方利用WMI远端执行命令,并滥用电子书管理软体Calibre主程式执行恶意DLL程式库。而骇客在这台电脑进行名称管道冒充攻击不久,又对第3台电脑下手,透过Cobalt Strike建立工作排程,使用SYSTEM帐号从事攻击行为。
研究人员循线清查是否有其他电脑受害,结果找到另一台骇客设置在开机启动Calibre的电脑,骇客设置了3个伪装成微软及Adobe更新的工作排程,但实际用途是定期与远端的IP位址及Cobalt Strike主机连线。数个月后,骇客进行侦察,从而部署Node.js执行档,目的是执行恶意延伸套件。