华尔街日报自9月底开始,多次针对他们发现对方主要锁定的标的,包含电信公司使用的资料库、云端伺服器等重要服务,以及服务供应商的网路环境,骇客会试图植入名为Demodex的rootkit程式,目的是希望借此增加存取受害电信业者的管道。
在近期攻击东南亚电信业者的事故里,这些骇客使用多款后门程式,其中包含未被揭露的GhostSpider、模组化的SnappyBee(Deed RAT)、跨平台的Masol RAT。根据他们的追踪,骇客的攻击行动,根据锁定的产业类型,大致上可区分为两种类型Alpha、Beta,其中的Beta攻击是针对电信业者及政府机关而来。
无论是那一种攻击行动,骇客取得初始入侵管道的方法,主要都是针对曝露于网际网路的应用程式伺服器,并利用已知漏洞来达到目的,这些包含Ivanti Connect Secure漏洞CVE-2023-46805和CVE-2024-21887、FortiClient EMS的SQL注入漏洞CVE-2023-48788、Sophos防火墙漏洞CVE-2022-3236,以及ProxyLogon(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)。
在Beta攻击行动里,骇客初期利用网页伺服器或是ProxyLogon,取得相关帐密然后控制目标电脑。
接著,他们主要使用Demodex长期埋伏于受害组织的网路环境,在近期的攻击行动里,对方透过DLL挟持手法载入GhostSpider,此后门程式使用TLS通讯协定,从C2接收藏匿于HTTP标头及cookie的命令,而能将攻击流量混入合法流量。
而对于攻击行动Alpha的部分,研究人员提及是针对台湾的政府机关及化学公司而来,骇客从C2伺服器下载恶意工具,并透过寄生攻击进行横向移动。