駭客組織Earth Estries鎖定臺灣在內的多國政府機關、科技業者,從事網路間諜活動

資安業者趨勢科技揭露,該組織自今年初,開始針對臺灣、美國、德國、南非、馬來西亞、菲律賓的政府機關與科技業者下手,但也有印度、加拿大、新加坡組織受害。

研究人員先是看到駭客成功入侵目標組織的伺服器,便利用管理者權限掌控既有的使用者帳號,然後部署Cobalt Strike來投放更多惡意程式,接著開始進行橫向移動,藉由網路資料夾共享(SMB)及WMI命令列工具(WMIC),在受害組織的其他電腦上,散布後門程式Zingdoor、HemiGate,竊資軟體TrillClient,以及其他作案工具。

特別的是,駭客在每一輪攻擊工作當中,都會定期清除後門程式,然後在下一階段攻擊重新部署惡意程式,且將收集的資料進行歸檔,並使用curl.exe上傳至AnonFiles、File.io等檔案共用服務,駭客竊取資料的檔案類型,主要是PDF與DDF。

屏東借錢感應門神,推薦沙發修理,老師傅的專業手工!測試專家告訴你如何好好使用示波器大阪包車好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!屏東借款!如何利用一般常見的「L型資料夾」真空封口機該不該買?使用心得分享!專業客製化禮物、贈品設計,辦公用品常見【L夾】搖身一變大受好評!日本包車台灣護照代辦申辦工作天及價錢!空壓機合理價格為您解決工作中需要。貨櫃屋,結合生活理念、發揮無限的創意及時尚的設計。三個月單次觀光泰國簽證需準備哪些資料?竹北床墊推薦!總是為了廚餘煩惱嗎?雅高環保提供最適用的廚餘機,滿足多樣需求。沙發換皮省更多,延長老沙發壽命!竹北床墊工廠,賣場商品防竊是怎麼做的?為什麼辦理台胞證需要護照正本?屏東軍公教借款各家評價及利息一覽表。東京包車三洋服務站全台據點。

根據駭客在這一波攻擊行動所使用的工具與手法來看,整體而言,研究人員認為Earth Estries背後的經營者握有高階資源,且在從事網路間諜具備複雜的技巧與豐富的經驗。而在攻擊行動所使用的戰術、技術、程序(TTP),Earth Estries與FamousSparrow存在共通之處。

雖然這些駭客在攻擊過程,會使用多個後門程式與駭客工具來增加攻擊強度,但另一方面,他們也採取多種手法來減少行蹤曝露,像是使用PowerShell降級攻擊手法,來迴避Windows惡意軟體掃描介面(AMSI)的登入檢測機制,還有在下達命令或是竊取資料的過程裡,這些駭客濫用了GitHub、Gmail、AnonFiles、File.io等雲端服務。

https://www.ithome.com.tw/news/158536