趋势科技
骇客组织Earth Kasha近日以后门程式,攻击包括Array Networks、Fortinet等多家品牌SSL VPN设备,已有台湾、日本及印度等地企业受害。
这波攻击背后的骇客组织是中国骇客组织Earth Kasha,之前曾以精准钓鱼信件攻击公立机构和学术单位,主要活动地区在日本。趋势科技今年初发现,Earth Kasha发展出新的攻击策略和技俩,从2023年起开始运用企业防火墙软体漏洞植入后门程式Lodeinfo。研究人员发现,遭到滥用的SSL VPN防火墙漏洞包括Array AG/vxAG(CVE-2023-28461)、Fortinet的FortiOS/FortiProxy(CVE-2023-27997),此外,骇客也滥用了FTP系统Proself漏洞CVE-2023-45727。
除了使用新手法,Earth Kasha的攻击目标也更广,从原本的日本扩大到台湾和印度。趋势科技两地都有知名组织用户,包括先进科技和政府单位受害。多数案例中,Earth Kasha成功骇入企业组织的网域管理员帐号,并在多台网路机器内植入Cobalt Strike、Lodeinfo及Noopdoor,借此建立长期渗透管道,并从事资料搜集,其中他们使用自制恶意程式MirrorStealer取得储存在邮件用户端、浏览器、群组政策偏好,以及SQL Server Managemen Studio中的凭证。
Earth Kasha于2019年首先使用后门程式Lodeinfo作案,今年另一个中国骇客组织Volt Typhoon又攻击FortiOS/FortiGate的零时差漏洞CVE-2023-27997。但有于其他厂商,趋势科技认为从手法、工具等线索来看,两者并非同一群人。因此从两者都滥用FortiOS漏洞资讯及使用Lodeinfo,显示骇客之间也会共享零时差漏洞及攻击资源。
Fortinet已在今年6月修补CVE-2023-27997,而Array Networks也在今年3月发布最新版ArrayOS AG 9.4.0.484解决漏洞。