中國駭客針對圖博及維吾爾族的攻擊行動不時傳出,而最近研究人員公布的攻擊行動當中,駭客暗中從事間諜活動長達5年,直到如今才被揭露。
趨勢科技揭露名為Earth Minotaur的駭客組織,駭客使用名為MoonShine的漏洞利用攻擊套件,並針對安卓行動裝置與Windows電腦,部署名為DarkNimbus的後門程式,主要目標是圖博與維吾爾族人,意圖藉此進行長時間的監控。
研究人員指出,他們從2019年就開始利用MoonShine從事相關攻擊行動,並在調查的過程當中,發現未以安全方式運作而「露餡」的MoonShine伺服器,掌握該漏洞利用工具及相關事件記錄資料,進而得知攻擊者使用的技倆,以及駭客鎖定的標的。
駭客主要利用此漏洞利用工具對安卓裝置的即時通訊軟體漏洞發動攻擊,主要目標是微信(WeChat),由於這類通訊應用程式很多都採用Chromium作為App內建的瀏覽器,駭客得逞的管道,都是利用已知的漏洞來進行。對此,研究人員呼籲,使用者應定期更新應用程式,來防範這類攻擊手法。
針對駭客發動攻擊的流程,研究人員指出,對方通常透過即時通訊軟體發送特製訊息,引誘使用者點選內嵌的惡意連結,一旦他們上當,就會被帶往MoonShine伺服器,而導致裝置被植入後門程式。
這些駭客使用的誘誀,研究人員大致歸納為4種,分別是政府公告、與COVID-19有關的中國新聞、和圖博與維吾爾族或宗教有關的新聞,以及旅遊資訊。
此外,他們也提及上述攻擊鏈受害者的IP位址,幾乎都是來自中國,但這些駭客還有另一種發動攻擊的管道,那就是將使用者重新導向圖博或維吾爾族音樂及舞蹈的網路影片,而這種受害者的範圍,遍及全球。
但無論上述那一種管道,一旦使用者點選連結,駭客便會將他們重新導向漏洞利用工具伺服器對裝置下手,結束後又會將使用者導向看似合法的網頁。
在攻擊過程裡,漏洞利用工具伺服器會檢查HTTP標頭的資訊,確認使用者裝置上的特定應用程式或瀏覽器存在某些漏洞,才會進行漏洞利用。
值得留意的是,這些被利用的漏洞針對多個版本的Chrome,以及騰訊瀏覽器伺服器(Tencent Browser Server,TBS),而這個軟體也是採用Chromium瀏覽器引擎打造而成。
附帶一提的是,攻擊者利用的漏洞多半都已公開一段時日,其中最新的是針對微信的CVE-2023-3420。除此之外,其他漏洞都是在2016年至2020年公布。
雖然研究人員看到駭客利用微信成功入侵目標裝置,但他們分析MoonShine的程式碼發現,駭客也針對多款嵌入對應版本的Chrome或TBS安卓應用程式而來。
究竟駭客鎖定那些應用程式?涵蓋Chrome、臉書,以及即時通訊軟體微信、QQ、Line、Messenger、Zalo,此外,駭客也鎖定電商網站應用程式Lazada、韓國搜尋引擎Naver下手。
若是漏洞利用套件並未發現可利用的漏洞,還會佯稱使用者的應用程式太舊,要求依照指示升級。但假如照做,使用者將安裝含有特定漏洞的舊版程式,而讓駭客能夠進行攻擊。
一旦駭客的伺服器成功觸發漏洞,就會經由惡意程式碼執行Shell Code,將後門DarkNimbus植入目標裝置。此後門程式透過XMPP通訊協定與C2通訊,並能收集受害裝置的各式資訊並進行回傳。再者,攻擊者也濫用輔助服務,而能在特定即時通訊軟體或協作平臺於前景執行時,藉由文字辨識功能竊取對話內容。
熱門新聞
2024-12-10
2024-12-10
2024-12-08
2024-12-10
2024-12-11
2024-11-29
