半年前美国警示大家要注意中国骇客组织Volt Typhoon的攻击行动,并指出下一波骇客攻击的目标不再只是美国,还会扩及亚洲地区的关键基础设施。但究竟骇客如何入侵这些环境?如今有研究人员揭露相关细节。
资安业者Lumen指出,这些骇客也同时运用僵尸网路KV-botnet来从事攻击行动,其重要的环节便是先对家用路由器、SOHO办公室防火墙等网路设备下手,再存取受害组织的内部环境。
【攻击与威胁】
资安业者Lumen指出,Volt Typhoon通常会以路由器、防火墙、VPN设备充当代理伺服器,使得恶意流量混入合法流量,让攻击变得更难以察觉。而在这一波行动里,骇客锁定Netgear ProSAFE防火墙、思科RV320路由器、居易(DrayTek)Vigor路由器,以及Axis多款IP网路摄影机而来,目的是入侵组织设置在网路环境边缘的设备,然后从事网路间谍活动并收集机密资料。研究人员看到此僵尸网路的活动从2022年开始,并在今年8月、11月显著增加,最近一波攻击发生于12月5日。 上述被锁定的设备多半为家用或是SOHO办公室设计,涵盖Arm、MIPS、x86等架构,其共通点是生命周期已经结束,且缺乏相关的安全防护措施。骇客利用名为kv.sh的bash指令码,终止特定的处理程序,并删除目标装置上的防护工具,而僵尸网路病毒与C2连线的过程中,会采用随机的连接埠进行,再者,为隐匿攻击行动,骇客的工具都在记忆体内运作而难以察觉。 研究人员指出,在不同的攻击阶段当中,这些骇客倚赖多种开源工具来进行,像是dirsearch、sqlmap、tinyproxy、redis-rogue-getshell,此外,他们也使用渗透测试工具Cobalt Strike,值得注意的是,研究人员在骇客的基础设施当中,发现攻击者曾使用中文下达命令。在其中一起锁定巴西公司的攻击行动里,骇客利用了内容管理系统Joomla的中度风险漏洞CVE-2023-23752,从而进行SQL注入攻击。
2.
研究人员指出,Gaza Cybergang旗下有3个团体从事这种后门程式的攻击行动,分别为Molerats、Arid Viper(亦称APT-C-23),以及另一个尚未被命名、曾从事Operation Parliament攻击行动的组织。而对于这些骇客的目标,研究人员认为是针对反对哈玛斯的巴勒斯坦人而来。