登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

针对三组中国黑客锁定东南亚发动的攻击行动,黑客趋于倾向利用公开工具隐匿行踪

分享

支付動態

2024-09-11

研究人员针对中国政府主导的大规模网络间谍攻击行动Operation Crimson Palace公布最新发现,黑客不断与资安人员过招,改用公开的工具来从事攻击行动,企图持续在受害组织活动

今年6月资安业者Sophos揭露中国政府主导的网络间谍行动Operation Crimson Palace,相关攻击行动发生在去年3月至12月,大致可归为3波:Cluster Alpha(STAC1248)、Cluster Bravo(STAC1807),以及为期最长的Cluster Charlie(SCAT1305),至少有4个黑客组织参与。如今他们公布新的调查结果,指出这些黑客更换作案工具,持续从事相关攻击行动。

本周研究人员指出,他们看到这3波攻击行动的后续,其中最引起注意的是Cluster Charlie,在研究人员阻止黑客使用的C2植入工具PocoProxy运作之后,这波攻击在去年8月消声匿迹,但黑客在9月底卷土重来,并使用与过往不同的手法来回避侦测。

黑客先是使用不同的C2信道避免再度遭到封锁,然后改变攻击方式,他们使用名为Hui的恶意程序加载工具,然后将Cobalt Strike的Beacon注入远程桌面连接程序mstsc.exe。但在研究人员察觉并进行阻断后,黑客改用公开的软件试图继续于受害组织的网络环境活动。

由于研究人员封锁了C2工具,黑客改以事先取得的外流帐密数据,滥用网页应用程序的上传功能部署Web Shell,借此在服务器上运行命令,将特定的DLL程序库拷贝到网页文件夹,并将其伪装成PDF文件,而这些活动包括进行侦察的过程,黑客总共在45分钟内完成,算是相当迅速。

事隔2个月,这些黑客再度存取受到感染的网页服务器,并通过Web Shell部署名为Havoc的开源C2框架进行后续侦察。后来,研究人员也看到其他应用程序服务器被植入Web Shell及Havoc的情况,其中他们看到利用Havoc植入名为SharpHound的开源工具,来侦察AD基础架构的情形。

除此之外,他们也看到这些黑客运用其他攻击行动的工具作案。去年10月,黑客使用DLL挟持手法部署C2工具,并滥用含有漏洞的合法软件,借由受害组织尚未列管的设备从事远程攻击,过程中使用网络探测工具Impacket的模块atexec来进行,目的是想要从外部进行远程桌面连接(RDP)来存取内部网络环境。

接着,黑客进一步寻找能用来进行DLL侧载的服务,并采用DLL挟持手法来设置后门,使用恶意酬载取代磁盘区阴影拷贝服务的DLL组件。后来到了12月,这些黑客利用DLL侧载手法,借由iexplore.exe加载恶意软件,目的是窜改防火墙配置。研究人员指出,这些黑客进行一系列的侦察和收集帐密工作,并取得网络基础架设的配置数据。

研究人员指出,这些黑客使用了Cluster Alpha常见的DLL侧载手法,代表从事这3个攻击行动的黑客彼此互通有无,并不断开发新的回避侦测手法。

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu