骇客从事网路攻击活动,朝向分工的方式进行可说是越来越普遍,其中一种是专门取得目标企业组织初始入侵管道的歹徒(Initial Access Broker,IAB),他们向其他网路罪犯兜售这种管道,如今国家级骇客也出现的类似的分工,有专门的组织从事类似IAB的行为。
资安业者Mandiant发现,伊朗骇客UNC1860在成功入侵目标组织后,会借由恶意软体控制工具,为接手从事攻击行动的骇客,提供以远端桌面连线存取目标网路环境的能力。
【攻击与威胁】
资安业者Mandiant揭露伊朗骇客组织UNC1860,并指出这些骇客疑似隶属伊朗情报与国家安全部(MOIS),根据他们看到骇客专属的作案工具,推测这群歹徒可能专为其他网路犯罪组织提供受害组织初始入侵管道(Initial Access Broker,IAB)。
这些骇客起初锁定曝露于网际网路的伺服器植入名为StayShante的Web Shell,企图取得受害组织的网路环境初始存取权限,一旦得逞,他们就会部署其他恶意程式,例如:TofuDrv、TofuLoad,来取得进一步的控制权,这些被植入的作案工具比一般的后门程式更为隐密,因为骇客会试图消除恶意程式对C2基础设施的依赖,使防守方难以侦测行踪。
而在UNC1860成功掌握受害组织网路环境的存取管道后,他们便会透过具备图形操作介面的恶意软体控制工具TemplePlay、ViroGreen,为接手从事进一步攻击行动的骇客,提供以远端桌面连线(RDP)存取受害组织网路环境的能力。
【漏洞与修补】
针对这项漏洞发生的原因,基点资讯指出,起因是该系统处理稽核请求的身分验证处理程序feedbackd存在弱点,一旦攻击者向前端网页发送特制的稽核请求,网页向feedbackd转送的过程就会触发漏洞,导致该处理程序当机。由于前端网页未能正确处理当机情形,使得前述的稽核请求能够通过身分验证,最终攻击者成功取得系统管理员身分。