外媒報導。中國背景的Billbug駭客組織正在東南亞進行精密的網路間諜行動,這些攻擊很可能與中國政府尋求強化在台灣和南海地區主張的戰略企圖息息相關。賽門鐵克(Symantec)和思科Talos的研究均證實,這些網路攻擊具有明顯的國家級駭客組織特徵。在2024年8月至2025年2月期間,Billbug以前所未見的新型工具對東南亞多國的關鍵基礎設施發起了一場精密的網路滲透攻勢。
此次攻擊行動針對的目標包括一個政府部門、航空交通管制機構、電信運營商和一家建築公司。更令人警惕的是,攻擊還擴及鄰近國家的新聞機構和空運公司,顯示出駭客組織的廣泛滲透企圖。
Billbug(又稱Lotus Panda、Lotus Blossom或Bronze Elgin)以其高度複雜的入侵技術而聞名。這次攻擊中,駭客採用了多種創新且隱蔽的技術手段。
最引人注目的是他們利用DLL側載(Sideloading)技術,巧妙地利用趨勢科技和Bitdefender等知名廠商的合法執行檔來偽裝惡意載荷。
駭客利用趨勢科技的二進位檔案側載惡意DLL,並從TmDebug.log檔案中解密執行程式碼。在另一起攻擊中,Bitdefender的執行檔透過載入惡意DLL,成功將惡意內容注入Windows系統匣(systray.exe)程序。
駭客還部署了兩款全新的工具:ChromeKatz和CredentialKatz。這兩款工具專門從Google Chrome瀏覽器中竊取登入資料和Cookie。這些工具配合一個客製化的反向SSH工具,能在Port 22建立監聽服務,進一步擴大入侵範圍。
除此之外,Billbug還部署了多款精心設計的惡意工具:
- 一個強化登錄持久性的Sagerunex後門最新變種
- 開源點對點遠端存取工具Zrok
- Datechanger.exe時間戳記操縱工具,可能用於混淆數位鑑識調查
Billbug是老牌駭客組織,可以追溯至2009年,一直是東南亞地區政府、國防和電信部門的主要威脅。該組織的攻擊手法包括魚叉式網路釣魚、濫用數位憑證,以及部署 Trensil和Infostealer.Catchamas等新型惡意軟體。近年來,該組織展現出越來越高的技術複雜度和持續滲透能力,常常利用合法軟體來偽裝入侵並逃避偵測。