【大纪元2023年10月07日讯】(大纪元记者林燕报导)荷兰全球网络威胁情报公司EclecticIQ的最新报告发现,中共国家支持的黑客伪装成台积电公司(TSMC)发送钓鱼邮件给台湾、香港和新加坡的半导体公司。
一旦收信人点开钓鱼文件,电脑就会启动名为HyperBro的恶意程序(后门),然后再被用作部署商业攻击模拟软件和后续利用工具包的管道。
周四(10月5日)发表的报告说,这些钓鱼邮件意在散布Cobalt Strike信标。过去,多个黑客组织APT使用Cobalt Strike工具渗透。Cobalt Strike是一款基于Java编写的全平台多方协同后渗透攻击框架。
根据报告,HyperBro会透过网络安全公司的CyberArk应用程序执行档vfhost.exe,进行DLL侧载(DLL Side-loading),然后在内存(In-memory)上执行Cobalt Strike的Beacon元件。
研究人员对Beacon元件进行分析后发现,黑客在利用过往未被揭露的恶意程式下载工具进行渗透。
这个工具透过Windows内建的PowerShell及BitsTransfer模组,从已被入侵的中国的亿赛通(EsafeNet)公司Cobra DocGuard加解密服务器取得恶意程序。接着,在安装启动该恶意程序之后,一个名为ChargeWeapon的Go程式植入程序会通过下载器进行分发,使得黑客可以借此取得受害人电脑的信息。
EclecticIQ研究员阿尔达‧比尤卡亚(Arda Büyükkaya)在周四的分析中表示:“ChargeWeapon旨在获得远端存取并将设备和网路资讯,从受感染的主机发送到攻击者控制的(命令和控制)服务器。”
中共黑客还会利用另一家网络安全公司McAfee签章的可执行档mcods.exe,运用DLL侧载手法执行Cobalt Strike的Shell Code。Shell Code连线的C2服务器IP位址与HyperBro一模一样。
报告说,这表明中共黑客设计了多种方法来渗透感兴趣的目标对象。
这家荷兰网路安全公司研判,这项活动与中共国家支持的黑客有关,而且黑客几乎完全由名为Lucky Mouse(又名APT27、Budworm 和Emissary Panda)的黑客组织使用。
在EclecticIQ记录的攻击链中,HyperBro执行后会显示一份以台积电为主题的PDF文件。
比尤卡亚解释说:“通过在后台秘密运行恶意软体的同时提供外观正常的PDF,可以最大程度地减少受害者产生怀疑的可能性。”
美国国防部9月份发布的一份报告称,北京对美国构成了“广泛而普遍的网路间谍威胁”,称中共窃取技术机密并进行监视活动以获得战略优势。
国防部表示:“中华人民共和国利用网路手段,对关键防御网络和更广泛的美国关键基础设施,特别是国防工业基地(DIB)进行了长期的间谍、盗窃和妥协活动。”
责任编辑:林妍#
