在这起攻击行动里,骇客操弄微软管理主控台组态档案(MSC)与多语言使用者介面路径(Multilingual User Interface Path,MUIPath),从而下载恶意酬载并执行,进而从受害电脑窃取敏感资料。值得留意的是,相关攻击尚在持续进行。
骇客同时运用2个相同档名的MSC档案,其中一个是无害的,另一个则是恶意版本,他们在存放无害MSC档的资料夹里建立名为en-US的资料夹,然后将恶意的MSC档存放其中。一旦无害MSC版本执行,微软管理主控台就会存取恶意版本的MSC档案。
为何这么做会得逞?原因是骇客滥用了MUIPath的功能,这原本是针对不用语言用户设计的机制,使得程式开发者能借此提供不同语言的对话框及使用者介面元素。
接著,骇客使用佯装成DingTalk、QQTalk等中国软体的MSI安装档,从C2下载木马程式MSC EvilTwin的载入工具,从而在受害电脑执行恶意程式。
但除了利用MSC EvilTwin,研究人员看到骇客也有使用其他手法的情况,其中一种是滥用MSC档网页渲染机制执行Shell命令;另一种则是模拟受到信任的资料夹。