ShellClient木馬鎖定全球航太產業與電信公司發動攻擊

2021 / 10 / 20

編輯部

資安業者Cybereason揭露GhostShell攻擊行動(Operation GhostShell)，駭客運用新木馬程式ShellClient，攻擊全球航太產業與電信公司。

Cybereason指出，攻擊者目的為竊取各組織之關鍵資產與所持有之技術等機敏資料，攻擊範圍主要為中東地區，惟美國、俄羅斯及歐洲亦有部分受駭。根據Cybereason所掌握之情報，認為攻擊者係2018年起開始運作之伊朗駭客組織MalKamak，該駭客組織與Chafer(APT39)或Agrius等伊朗政府資助之駭客組織有所聯繫，惟其攻擊特徵與其他伊朗駭客組織不同，因此推測為新駭客組織。

Cybereason於今年網路攻擊案件發現新木馬程式ShellClient後便開始啟動調查程序，該木馬程式歷經3年之發展，已新增更為隱密之C2通訊機制，如雲端服務通訊。最早期之木馬程式版本編譯於2018年11月，為反向Shell(Reverse Shell)，至於2021年所發現之第4版本，已納入許多新技術以規避資安系統檢測，如捨棄舊有C2網域，改為使用Dropbox雲端服務進行命令與控制，所有傳送至Dropbox之數據資料皆使用AES加密機制進行加密，藉此混淆傳輸流量，且由於存取Dropbox之流量通常被視為合法流量，使得攻擊行動難以被資安防護機制察覺。

本文轉載自NCCST。

ShellClient 木馬攻擊 Operation GhostShell 航太業電信業 Dropbox APT39 Agrius AES加密機制