ithome 臺灣研究機構遭中國駭客組織APT41攻擊 研究人員公布去年中國駭客組織APT41針對臺灣政府機關所屬的研究機構從事攻擊的資安 事故，值得留意的是，駭客利用舊版微軟Office隨附的IME元件，以及開源的迴避偵測工 具來躲過防毒軟體的攔截 文/周峻佑 | 2024-08-05發表 惡名昭彰的中國駭客組織APT41近年來動作頻頻，其動態尤其引人關注，自資安業者 Mandiant公布該組織滲透全球航運、物流、媒體及娛樂產業的攻擊行動，有研究人員公布 專門針對臺灣而來的資安事故。 思科旗下威脅情報團隊Talos揭露APT41針對臺灣政府所屬研究機構的攻擊行動，遭駭單位 是隸屬臺灣政府旗下的研究機構，專精於運算與科技領域，研判駭客的目的很有可能是竊 取專利資料或是敏感的技術。 思科去年8月偵測到受害組織的IP位址在下載PowerShell指令碼，並執行惡意命令的情況 ，事實上，根據他們的追蹤，這些駭客從去年7月開始，存取其中3臺主機，濫用微軟辦公 室軟體Office的舊版輸入法編輯器（IME）檔案，以及已知漏洞CVE-2018-0824，將惡意程 式ShadowPad、Cobalt Strike，以及其他後續作案的攻擊工具植入這個研究機構當中，至 少有11天之久，但究竟有多少資料遭竊，思科並未透露。 對於這起事故的發現，研究人員指出，當這些駭客取得初始的存取權限後，他們開始在電 腦執行惡意程式碼以便持續在該機構網路環境活動，在網頁伺服器植入Web Shell而能進 行偵察並下達命令，最終部署惡意程式，而根據散布惡意程式的手法，研究人員大致區分 成3種型態，包含了使用Web Shell、遠端桌面存取（RDP），以及反向Shell。 研究人員提到，當駭客在試圖投放ShadowPad部分元件的過程裡，遭到受害主機上思科的 資安防護系統攔截，於是駭客改變手法試圖繞過，並從架設在主機代管業者戰國策（ www.nss.com[.]tw）的C2伺服器下載Cobalt Strike。駭客使用能夠回避防毒軟體偵測的 惡意程式載入工具，來啟動Cobalt Strike。 在入侵的過程裡，駭客嘗試執行惡意程式UnmarshalPwn來利用CVE-2018-0824。此外，一 旦後門成功部署，他們就會立刻清除Web Shell，或是用來存取的Guest帳號，研究人員指 出，這些駭客相當謹慎。 接著，這些駭客對於受害組織的網路環境進行偵察，過程中使用53781埠，但為何這麼做 ，研究人員表示不清楚。 而對於駭客使用的惡意程式，研究人員提及駭客載入ShadowPad的方式出現新手法，那就 是運用13年前的IME檔案imecmnt.exe來進行。 再者，前述提到用來啟動Cobalt Strike的惡意程式載入工具，則是源自中國開源專案， 而該專案設置的目的本來就是防止Cobalt Strike遭到防毒軟體攔截，駭客幾乎可說是拿 現成的工具加以利用。研究人員提到，駭客下載、解密、執行Cobalt Strike Beacon的過 程，完全在記憶體內執行，而不會在磁碟留下痕跡 https://www.ithome.com.tw/news/164297 備註: 簡單來說這是利用舊版office漏洞植入的惡意程式。 而且成功執行惡意程式後，會將所有痕跡清除(包含登入log,執行過程產生的檔案) 只能說只要網路有對外，沒必要守著舊系統繼續用 該新就更新，Win10明年也要到期了，還沒更新的趕緊吧 TPM2.0也能繞過，舊機還是能升11 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.115.82.192 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1722944832.A.823.html