自2020年起,一個使用中文的駭客組織
CL-UNK-1068 持續
對亞洲多國關鍵基礎設施發動網路間諜攻擊。該威脅組織鎖定南亞、東南亞與東亞地區的航空、能源、政府、執法、製藥、科技及電信產業。
根據 Palo Alto Networks 旗下 Unit 42 研究團隊的報告,該組織主要使用開源工具、社群共享的惡意軟體和批次腳本,展現橫跨 Windows 和 Linux 雙平台的攻擊能力。
攻擊手法與工具
駭客首先透過入侵網頁伺服器取得初始存取權限,部署包括 GodZilla 在內的多種網頁後門程式(Web Shell)及 AntSword 變種。取得立足點後,攻擊者利用這些後門程式橫向移動至其他主機和 SQL 伺服器。
系統遭入侵後,駭客會進行偵察和權限提升。他們使用 Mimikatz 從記憶體中傾印密碼,搭配 LsaRecorder 擷取憑證。此外,他們也部署免費的多平台鑑識工具 DumpIt,結合 Volatility Framework 從記憶體中提取密碼雜湊值。
CL-UNK-1068 還開發了一款名為
ScanPortPlus 的自製 Go 語言網路掃描工具,同時提供 Linux 和 Windows 版本。
為維持持久性並規避偵測,攻擊者大量使用隱匿技術,包括透過合法的 Python 執行檔進行 DLL 側載(DLL Side-Loading),使惡意程式碼在受信任的程序下執行。此外,駭客部署修改版的
Fast Reverse Proxy (FRP) 來維持命令與控制 (C2) 存取並繞過網路控管,有時也會安裝 Xnote Linux 後門程式。
攻擊動機與歸因
Unit 42 認為這個組織與中國有關,判斷依據包括使用的語言、工具來源,以及長期鎖定亞洲關鍵基礎設施的模式。攻擊的最終目標是竊取憑證並外洩敏感資料。
雖然竊取憑證和外洩敏感資料的行為強烈顯示間諜動機,但研究人員表示尚無法完全排除網路犯罪的可能性。
研究人員指出,
這個組織的某些目標鎖定和隱匿活動與惡名昭彰的中國威脅組織 Salt Typhoon 類似。Salt Typhoon 曾成功滲透至少九家美國電信公司,長期潛伏並竊聽執法單位的監聽內容及總統競選活動。
防護建議
Unit 42 建議防禦者關注以下關鍵跡象並採取行動:
- 濫用合法 Python 執行檔進行側載
- 部署未經授權的通道工具(如 FRP)
- 執行自製的偵察批次腳本
- 出現 Mimikatz 等憑證傾印工具
- 異常的 RAR 壓縮和 Base64 編碼活動
- 強化面向網際網路的網頁伺服器
- 監控網頁後門程式的部署
本文轉載自 DarkReading。