資安研究人員近期揭露多起中國駭客組織的攻擊行動,分別針對賭博網站、亞洲政府機構及 IIS 網頁伺服器,顯示攻擊工具與策略的持續演進。
PeckBirdy框架實現跨平臺攻擊
趨勢科技自 2023 年起追蹤名為
PeckBirdy 的命令與控制(C2)框架。
該框架使用微軟 JScript 語言撰寫,能在多種執行環境中靈活部署,讓攻擊者濫用合法系統工具(LOLBins)執行惡意活動。
趨勢科技威脅研究人員指出,偵測惡意 JavaScript 框架其實極具挑戰性。
這類框架使用動態生成的程式碼和執行時期注入技術,不會留下持續性檔案痕跡,能夠規避傳統端點安全控制。攻擊者還搭配兩個新發現的模組化後門程式:
MKDoor 和
HoloDonut,藉此增強 PeckBirdy 的功能並執行網路間諜活動。
兩起獨立攻擊鎖定不同目標
趨勢科技發現兩起獨立攻擊活動,分別編號為
Shadow-Void-044 和
Shadow-Earth-045。
Shadow-Void-044 自 2023 年起針對中國賭博網站植入惡意腳本。攻擊者透過 PeckBirdy 框架向網站訪客顯示偽造的 Google Chrome 更新頁面,誘使受害者下載後門程式,包括先前未公開的 MKDoor 惡意軟體。該活動還使用竊取的程式碼簽章憑證、Cobalt Strike 酬載,以及 CVE-2020-16040 等多個漏洞攻擊程式。
Shadow-Earth-045 於 2024 年 7 月被發現,主要針對亞洲政府機構。攻擊者將 PeckBirdy 連結注入政府網站以竊取憑證。其中一起案例在政府系統登入頁面進行注入,另一起則使用 MSHTA 執行 PeckBirdy 進行橫向移動。該活動使用 GrayRabbit 和新發現的 HoloDonut 後門程式,並曾從與中國威脅組織 Earth Baxia 相關的 IP 位址下載檔案。
UAT-8099鎖定亞洲IIS伺服器
思科 Talos 揭露中國駭客組織
UAT-8099 在 2025 年底至 2026 年初發動新攻擊,鎖定亞洲的 IIS 伺服器,特別集中在泰國和越南。攻擊者使用網頁後門(web shells)和 PowerShell 部署 GotoHTTP 工具,藉此取得伺服器遠端存取權限。
延伸閱讀:BadIIS 惡意軟體變種威脅升級:企業 IIS 伺服器成 SEO 詐騙跳板
攻擊流程始於利用安全漏洞或檔案上傳功能弱點取得初始存取權限。接著執行探索指令、部署 VPN 工具,並建立名為 admin$ 的隱藏使用者帳號。攻擊者投放多種工具,包括 Sharp4RemoveLog(移除事件記錄)、CnCrypt Protect(隱藏惡意檔案)、OpenArk64(終止資安產品程序)和 GotoHTTP,最後部署 BadIIS 惡意軟體。
由於資安產品已開始標記 admin 帳號,攻擊者新增檢查機制,若被封鎖就建立名為 mysql 的新帳號以維持存取權限並執行 BadIIS SEO 詐欺服務。
BadIIS出現區域化變種
此次攻擊部署兩個區域化的 BadIIS 惡意軟體變種:
BadIIS IISHijack 鎖定越南受害者,
BadIIS asdSearchEngine 則針對泰國目標。
惡意軟體會掃描進入 IIS 伺服器的請求。若訪客為搜尋引擎爬蟲,就重新導向至 SEO 詐欺網站;若請求來自顯示泰語偏好的一般使用者,則在回應中注入包含惡意 JavaScript 重新導向的 HTML 程式碼。
思科 Talos 在 BadIIS asdSearchEngine 中發現三個變種:
專屬多副檔名變種、
載入 HTML 範本變種,以及
動態頁面副檔名或目錄索引變種。此外,有跡象顯示攻擊者正在改進 BadIIS 的 Linux 版本。
防護建議
面對這些持續演進的威脅,資安專家建議組織採取以下措施:
- 持續監控基礎架構,在攻擊者建立持久立足點前封鎖入侵活動
- 加強 IIS 伺服器安全性設定,特別是檔案上傳功能的權限管控
- 定期檢查異常使用者帳號,特別是具有特殊字元的隱藏帳號
- 監控網頁伺服器的異常行為,包括不尋常的腳本執行和網路連線
- 運用威脅情報中的入侵指標(IOCs)偵測潛在的 PeckBirdy 和 BadIIS 活動
- 部署能偵測動態生成程式碼和執行時期注入技術的進階端點防護方案
本文轉載自 DarkReading、TheHackerNews。