歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
中國駭客組織Operation Digital Eye 對歐洲資訊科技業者發動大規模攻擊
2024 / 12 / 11
編輯部
駭客透過偽裝成 Microsoft 原生技術的惡意程式,幾乎成功突破歐洲重要供應鏈企業的資安防線。
根據 SentinelLabs 的研究,此事件發生於今年 6 月底至 7 月,為期三週。這個與中國 APT 組織有關的駭客,鎖定南歐地區的大型 B2B 資訊服務供應商,包括資安廠商、資料及基礎設施解決方案供應商。研究人員推測,其目的在於竊取下游供應鏈的情報。
攻擊者
將惡意活動隱藏於 Visual Studio Code 和 Microsoft Azure 等日常業務工具中,藉此滲透這些 IT 供應商並接觸其在歐洲各地的客戶。
同時,他們採用與其他已知中國 APT 組織相似的戰術、技術、程序(TTPs)和工具,以混淆追蹤來源。
Microsoft 工具遭濫用成為攻擊途徑
研究人員將這次攻擊行動命名為 Operation Digital Eye。
攻擊者首先對易受攻擊的對外網站和資料庫伺服器進行 SQL 注入攻擊,接著部署特別命名的 PHP 網頁後門(Web shell)以規避偵測。隨後進行網路偵查、橫向移動和憑證竊取等活動。
攻擊的核心是一個偽裝成無害的「code.exe」程式。這是一個看似正常、經 Microsoft 數位簽章認證,並透過 Windows Service Wrapper 執行的服務,但實際上是攻擊者為每個受害者量身打造的可攜式 Visual Studio Code(VS Code)。VS Code 是微軟開發的免費開源程式碼編輯器,也是目前最廣泛使用的整合式開發環境(IDE)之一。
近期 VS Code 的遠端通道(Remote Tunnels)功能已成為中國駭客組織的慣用攻擊工具。
這項原本用於讓開發者存取遠端程式碼的功能,卻意外成為完美的惡意程式載具,能在合法的微軟程式掩護下執行指令和操作遠端系統檔案。Operation Digital Eye 的攻擊者利用 VS Code 建立持久性後門,並巧妙地將檔案和服務儲存在暫存資料夾中,融入受害者的日常作業環境。
然而,透過 VS Code 建立通道不僅需要將惡意程式植入受害者的機器,還需要 GitHub 帳號和 Azure 伺服器連線。研究人員目前尚未確認攻擊者是使用竊取的 GitHub 和 Azure 憑證,還是自行註冊帳號。
值得注意的是,攻擊者反而將這項限制轉化為優勢。他們運用西歐的公有雲端基礎設施,讓可疑流量偽裝成合法活動,更容易躲過資安工具的偵測。研究人員指出,VS Code 和 Azure 的網路流量通常不會受到嚴格審查,且多半被應用程式控管和防火牆規則允許通過。更重要的是,由於它能提供完整的終端存取權限,這使得 Visual Studio Code 通道成為駭客覬覦的利器。
追溯中國駭客身分的挑戰
Operation Digital Eye 所使用的惡意程式不但未暴露攻擊者的真實身分,反而讓追查更加困難。
其中最值得關注的工具「bK2o.exe」是開源憑證竊取工具 Mimikatz 的改良版,專門用於執行 Pass-the-hash 攻擊。它的核心功能是竊取 NTLM 雜湊值,藉此取代目標使用者的實際密碼,從而在使用者的安全環境中進行更多未經授權的操作。
除了使用相似的惡意程式外,這些駭客組織的網路間諜目標也高度一致。該地區的網路攻擊活動很可能與中國『一帶一路』倡議密切相關,保護這些投資,並在能源運輸路線上取得優勢,同時監控對全球貿易和安全至關重要的海上活動。從經濟面向來看,南歐擁有能源、航運、航太和農業等關鍵產業,這為航太和再生能源等領域的科技情報竊取創造了機會。
本文轉載自 DarkReading。
Operation Digital Eye
VS Code
Mimikatz
最新活動
2025.02.19
2025資安365年會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
Fortinet修補遭駭客利用數月的FortiOS零時差漏洞
2024企業資安前瞻論壇:迎向複雜資安威脅的新時代 SIEM、SASE、API Security三大解決方案深度剖析
Microsoft 推出 2025年1月 Patch Tuesday 每月例行更新修補包
外媒關注!台灣受中國網攻倍增,電信業成為新目標
美國NIST發布首套後量子密碼學(PQC)聯邦資訊處理標準 FIPS
資安人科技網
文章推薦
F5公布 2025 預測:AI 競速時代 - 智慧擴展、安全性和信任
Palo Alto Networks預測 2025 年雲端安全趨勢
思科推出全新「人工智慧防禦」 助企業實現AI轉型