Sign in

Member Benefits

Get Demands

View Business Cards

Exclusive Service

Noble Identity

AS LOW AS 1.5U /DAY

中国黑客组织APT10锁定日本关键基础设施、学术机构,利用后门程序LodeInfo、NoopDoor从事网络间谍攻击

Share

支付動態

2024-08-02

针对锁定日本企业组织的后门程序NoopDoor攻击行动,资安业者Cyber​​eason认为可能是中国黑客组织APT10所为,而且,攻击行动中黑客同时还会运用另一支后门程序LodeInfo

上个月日本电脑紧急应变团队暨协调中心(JPCERT/CC)揭露攻击行动MirrorFace的最新态势,当中提及黑客锁定当地制造业、研究机构发动攻击,企图在这些企业组织植入后门程序NoopDoor,如今有资安业者公布与这支恶意程序有关的细节。

根据资安业者Cyber​​eason的调查,中国黑客组织APT10使用LodeInfo与NoopDoor两款恶意程序,锁定日本企业组织发起名为Cuckoo Spear的攻击行动,而能在受害组织的网络环境活动长达2至3年。他们提及这项攻击行动与黑客组织Earth Kasha,以及另一起攻击行动MirrorFace有所关连,因为这三个行动所用的武器有个共通点,那就是APT10惯用的恶意程序LodeInfo。

研究人员提到,黑客在使用NoopDoor的攻击行动,同时运用后门程序LodeInfo,然后使用新的后门程序窃取受害组织数据。他们看到黑客的攻击目标是日本的关键基础设施及学术机构,推测黑客的目的是从事网络间谍活动。

仅管这群攻击者会运用不同手段接触目标,但最主要的方式还是使用网络钓鱼,然而,这些黑客现在开始调整策略,利用漏洞来入侵受害组织,而这样的发现与JPCERT/CC公布信息互相呼应。

接着,黑客会试图在受害电脑上植入NoopDoor,这个后门程序采模块化设计,并通过网域名称生成算法(DGA)进行C2通信。攻击者利用名为NoopLdr的恶意程序加载工具将NoopDoor解密、运行。

为了维持NoopDoor持续在受害电脑运作,黑客根据不同情境,使用了3种方法来达到目的。

其中一种是通过工作调度运行公用程序MSBuild,加载恶意的XML文件,从而在运行时编译、启动恶意程序加载工具。

另一种则是滥用WMI事件,攻击者利用ActiveScript运行JavaScript引擎,触发MSBuild运行NoopDoor的加载工具。

最后一种借由设置恶意服务,加载未经签章的DLL文件来达到目的。

研究人员指出,黑客同时使用LodeInfo、NoopDoor两支后门程序攻击时,很有可能以LodeInfo为主,NoopDoor为辅,而这样的做法让黑客能长时间存取受害组织网络环境。

Disclaimer:
Details

Please Play Responsibly:

Casino Games Disclosure: Select casinos are licensed by the Malta Gaming Authority. 18+