近期不时有针对日本的攻击事故传出,继日本电脑危机处理暨协调中心(JPCERT/CC)揭露
Lac资安研究员松本拓摩及石川宏指出,这些骇客为了扩大受害范围,还会试图窃取代管服务业者(MSP)的共通帐号,进行供应链攻击,向MSP代管的其他客户横向移动,入侵这些公司的网路环境。 Winnti使用的Web Shell共有3种,包含中国骇客广泛使用的中国菜刀(China Chopper),以及Behinder(IceScorpion),以及SQLmap Fild Uploader。 上述工具能替攻击者执行那些工作?研究人员提到中国菜刀能对受害主机进行各式攻击,以及植入恶意程式Winnti;Behinder则是支援外挂的后门程式,可执行档案及Shell命令,以及载入经AES演算法处理的有效酬载。至于SQLmap Fild Uploader,则是具备图形介面的档案上传工具,主要是透过渗透测试工具SQLmap产生有效酬载。 攻击者身分的确认,Lac从恶意程式的元件发现蛛丝马迹,例如他们从中找到Treadstone、Stone V5的字串,接著比对多种情报,像是美国2019年起诉相关骇客的资料,,最终他们确定罪魁祸首是Winnti Group。值得留意的是,他们发现攻击者在渗透过程当中,滥用一家台湾企业的数位凭证。根据他们的调查,骇客在其中一个蠕虫程式上,使用台湾电器制造商的过期凭证签署的情况。