继资安业者趋势科技发现。
究竟骇客如何入侵受害组织,研究人员表示他们无法找到明确证据,但他们提及,首度看到相关的恶意软体,是出现在鼎新电脑ERP软体的程式资料夹「Digiwin」,骇客窜改其更新程式Update.exe,置换成用于攻击的Word主程式档案(WinWord.exe)。对于相关发现,再加上此ERP系统部分元件存在CVE-2024-40521等已知漏洞,研究人员推测攻击者很有可能利用该ERP软体从事供应链攻击。
研究人员指出,有鉴于骇客滥用具有长效期的台湾企业数位凭证,所有的C2伺服器也全部位于台湾,因此他们认定这是极具针对性的攻击行动,并向台湾电脑网路危机处理暨协调中心(TWCERT/CC)通报此事。
对于察觉这起攻击行动的过程,Acronis因为是使用该厂牌XDR系统Acronis Advanced Security的用户反映侦测到可疑的Word程式行为,却无法确认该应用程式存取那些文件档案,从而介入调查。研究人员发现,攻击者发出的请求相当可疑,命令的路径相当不寻常,而且还使用了未曾出现过的SvcLoad参数。
值得留意的是,受害电脑实际上已部署另一个版本的Word,而用于从事可疑行为的应用程式,是2010版Word主程式,攻击者意图用来维持在受害电脑上活动。
根据攻击者下载作案工具的资料夹内容,骇客很有可能是利用特定版本Word的漏洞,侧载执行恶意DLL程式库wwlib.dll,进而存取经加密处理的gimaqkwo.iqq,并取出有效酬载执行。
接著,骇客运用Install.dll元件,将特定处理程序部署为服务,并在命令加入/SvcLoad的参数,让相关工具持续在受害电脑运作。但研究人员提及,这项元件也能让攻击者透过工作排程达到目的。
最终,骇客载入另一个DLL的程式库ClientEndPoint.dll,并清除作案过程产生的挂钩,并对于知名防毒软体和EDR进行压制,借由Windows内建的防火墙功能封锁相关处理程序,研究人员推测,对方使用名为EDRSilencer的工具来达到目的。