安全廠商卡巴斯基發現,一個新興國家駭客組織攻擊亞洲及歐洲的微軟Exchange Server用戶超過一年,其中包括臺灣、越南用戶。

卡巴斯基旗下的GReAT(Global Research & Analysis Team)研究人員發現2020年底起,該公司命名為ToddyCat的新駭客組織開始攻擊Exchange Server歐洲及亞洲用戶,而且專門鎖定高知名度組織,包括政府、軍事單位和軍方外包商。

卡巴斯基掌握ToddyCat的身份的資訊不多,只知和另一個發動FunnyDream後門程式、講中文的駭客組織活動期間相近。他們由其攻擊目標,判斷是進階滲透威脅(APT)的國家駭客。駭客刻意將目標放在政府及軍事組織,藉此達到他們地緣政治利益等目的。

這個組織最早活動時期為何,研究人員無法斷定,也不知道他們是利用Exchange Server哪個漏洞。可以確定的是,2020年底到2021年2月之間是攻擊的第一波時期,且受害者都是Exchange Server,臺灣和越南3個組織的少數Exchange Server遭到攻擊。隨後2月底到3月初ToddyCat轉趨積極,開始開採Exchange Server的ProxyLogon漏洞,攻擊歐洲及亞洲組織。

在調查臺灣及越南的攻擊中,研究人員也發現了2個之前不知道的攻擊工具。ToddyCat先是駭入了Exchange Server,於受害者機器上部署China Chopper webshell程式,開始多階段感染鏈。最後,在受害者網路上植入之前沒被發現的後門程式Samurai及木馬程式Ninja Trojan。

圖片來源/卡巴斯基

Samurai是被動式後門程式,經由port 80和443運作,可遠端執行任意C#程式,配合多種模組讓攻擊者執行遠端程式並在目標網路上橫向移動。Ninja是一個後攻擊(post-exploitation)工具,類似Cobalt Strike,可在受害者機器上建立C&C伺服器以執行遠端控制、還能修改HTTP header及URL 路徑,以偽裝惡意流量,躲避偵測。

除了臺灣和越南的政府組織外,卡巴斯基觀測到其他受害者分布地點為阿富汗、印度、印尼、馬來西亞、泰國、巴基斯坦、俄羅斯、英國、烏茲別克等國。

事實上,3月以後,Exchange Server 被攻擊的歷史就相當清楚。安全廠商ESET發現有一個稱為Websiic的駭客組織利用Exchange Server的ProxyLogon漏洞發動攻擊,並且在受害伺服器上部署China Chopper webshell程式。事實上,資安廠商戴夫寇爾及Volexity等安全廠商分別追查到,2020年底及2021年初,ProxyLogon漏洞就已經有駭客開採活動,包括微軟稱為Hafnium的中國國家駭客。惟這些駭客組織是同一個或許多不同組織則不得而知。


熱門新聞

Advertisement