新發現 APT攻擊團體 ChamelGang，攻擊俄羅斯、美國、台灣等多國能源、航空產業與政府機關

2021 / 10 / 06

編輯部

新發現 APT攻擊團體 ChamelGang，攻擊俄羅斯、美國、台灣等多國能源、航空產業與政府機關

資安廠商 Positive Technologies 旗下的資安研究團隊 Positive Technologies Expert Security Center（PT ESC），日前發表研究報告，指出該單位的資安專家，近來發現新的進階持續威脅（Advanced Persistent Threat, APT）駭侵團體，長期以系統化的方式，持續攻擊俄羅斯、美國、印度、尼泊爾、台灣、日本等國家的政府機關、能源產業、航空業與其他製造業。

PT ESC 的資安專家指出，雖然俄羅斯等國的能源產業和航空產業，原本就是駭侵團體經常攻擊的目標，但該單位這次發現的攻擊行動，對這些產業造成嚴重的損害；去年發生的攻擊案件中，84% 的攻擊行動，其目標為資料竊取；這些企業的防護措施無法有效提供保護能力，以致駭侵者成功入侵的機率高達九成以上。

PT SEC 進一步指出，該團體每次成功的駭侵攻擊，不但可以竊走重要的公司機密資料，包括客戶、上下游協力廠商和員工的機敏資訊、郵件通訊內容與內部文件之外，還能取得重要伺服器與基礎設施裝置的控制權。

這個新發現的 APT 駭侵團體稱為「ChamelGang」，在一次攻擊活動中，該團體利用一個早就由 RedHat 在四年前修補完成的老舊 RCE 漏洞 CVE-2017-12149，先入侵子公司用的開源軟體，再以極快的速度，在兩周後成功入侵母公司系統，自目錄伺服器中取得密碼字典檔與管理者權限，在系統中活動長達三個月，竊取各種資料而未遭發現。

其他攻擊案例也包括使用 Microsoft Windows Server 日前被發現的嚴重漏洞 ProxyShell 發動攻擊，躲過多數防毒防駭系統的偵測，成功攻破受害公司的郵件伺服器。

本文轉載自TWCERT/CC。

APT攻擊 ChamelGang 航空產業政府機關能源產業 CVE-2017-12149 ProxyShell RedHat