针对这波攻击行动,ESET指出骇客针对亚洲、欧洲、美国的政府机关、非政府组织(NGO),以及智库的垂直产业下手,透过中国骇客经常运用的恶意程式屡屡犯案,这些工具包括:ShadowPad、SodaMaster、Spyder。
研究人员汇整这些骇客自2022年1月至10月从事的7起攻击事故,分别针对台湾政府组织、匈牙利天主教组织、土耳其、泰国政府组织、美国天主教慈善机构、美国非政府组织,以及法国地缘政治智库,而这些对象全数都是中国政府感兴趣的目标。
究竟这些骇客如何取得初始入侵管道?ESET表示无法确认,但大多数情况当中,他们看到骇客取得内部网路的特殊权限,其中一种是网域管理员的帐密。此外,攻击者也有透过管理主控台散布恶意软体的情况,或是利用网路渗透工具Impacket来进行横向移动。
针对骇客使用的恶意程式,ESET提及Earth Lusca使用的ShadowPad具有共通特征,那就是经由ScatterBee打包处理,而这是该组人马作案的重要特征。Earth Lusca透过PowerShell、Firefox下载伪装成Adobe Flash的恶意程式载入工具,并滥用旧版Bitdefender元件侧载ShadowPad。
这些骇客也在其中一起事故使用Spyder后门程式,骇客部署ShadowPad后,随即下载专门载入Spyder的工具,并透过AES-CBC演算法解开下载的有效酬载。
另一个骇客使用的恶意软体SodaMaster,只能在记忆体内解密、运作,最早采纳的骇客组织是APT10,但Earth Lusca后来也开始运用,也代表该恶意程式已在多组中国骇客组织之间进行流通。
根据上述调查结果,加上骇客运用一系列的已知恶意程式作案,ESET认为,Earth Lusca是安洵旗下的其中一个团队。