【资安日报】4月3日,研究人员发现中国骇客组织APT41旗下团体使用更为隐密的方式回避侦测

最近几年中国骇客组织APT41的攻击行动不时传出,但今年初鲜少有相关的事故揭露,直到最近,有研究人员发现该组织旗下团体的攻击手法。

资安业者趋势科技发现该组织旗下团体Earth Freybug,特别针对端点防护系统(注:这里研究人员应该指的是EDR相关系统)追踪恶意行动的方法下手,企图让这类系统无法侦测他们的行踪。

 

【攻击与威胁】

研究人员指出,由于许多端点防护工具透过API挂钩追踪恶意行为,对方反其道而行,将Unapimon设计成能取消子处理程序相关的API挂钩,而能回避此种侦测。

此遭到木马化的防毒软体被植入了名为Brunhilda的恶意程式载入工具,若是使用者执行安装,Brunhilda就会执行与Vultur相关的元件,从而得到使用者对辅助功能的授权、初始化远端控制系统,最终与C2建立连线。

研究人员指出,新版Vultur能停用特定的应用程式,并显示自订通知来误导使用者,甚至能绕过萤幕解锁画面,使得攻击者可不受限制存取装置。

Google威胁情报小组(TAG)与旗下资安业者Mandiant联手,公布对于2023年零时差漏洞的态势观察,去年总共有97项零时差漏洞,较2022年62个增加50%。

但值得留意的部分,是研究人员归纳的趋势。首先,软体开发商积极强化软体的安全,但攻击者开始偏好针对第三方元件挖掘零时差漏洞,再者,则是攻击者锁定企业级产品的攻击比例显著增加。

此外,商业间谍软体供应商(CSV)最擅于利用浏览器及行动装置的漏洞,而在国家级骇客的部分,延续过往研究人员的观察现象,中国资助的骇客依旧是去年利用零时差漏洞最多的国家级骇客。

3月29日开源专案XZ Utils发生供应链攻击,导致该资料压缩程式库被植入后门,曝露CVSS风险评分达满分的漏洞CVE-2024-3094,Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed与MicroOS,以及部分Debian版本受到影响,导致许多Linux用户人心惶惶,美国网路安全暨基础设施安全局(CISA)呼吁用户,应降级5.4.6版XZ Utils,并清查是否存在恶意活动,如今有研究人员提供相关检测工具,让用户对特定执行档进行彻底的扫描。

专精韧体安全的资安业者Binarly架设名为xz.fail的网站,让用户上传ELF档案,从而检测是否存在前述后门程式。研究人员表示,由于用户往往借由档案杂凑值、YARA规则进行逐一比对,而有可能导致用户警报疲劳,甚至会出现误报的情况,再加上对方使用的精密手法,很有可能对其他专案发动攻击的时候重复利用,因此,他们决定提供专门的后门检测工具。

 

【其他新闻】