冒充台積電 中國駭客針對東亞半導體公司發動攻擊
編譯/Cynthia
最近,中國駭客對東亞的半導體公司進行了攻擊,他們冒充台灣積體電路製造公司(TSMC)的名義,試圖傳送危險的Cobalt Strike惡意軟體。這次攻擊不僅高度隱密,還隱藏高階技術工具,讓我們深入了解攻擊的細節,並思考如何防禦此類威脅。
Cobalt Strike的致命工具
Cobalt Strike,是一款高階的攻擊模擬工具,通常被駭客用來評估系統的安全性。然而,最近的攻擊卻針對企業的機密數據,而不僅僅是為了測試系統安全性。攻擊者將Cobalt Strike惡意軟體傳送到受害者的系統中,這對企業來說帶來了巨大的風險。
HyperBro的技巧
為了實現攻擊目標,駭客使用了一個名叫HyperBro的後門,像他們進入系統的鑰匙,然後他們部署了Cobalt Strike,開始竊取敏感的資料。攻擊者不僅知道如何進入系統,還精通如何隱藏自己的蹤跡,這讓發現攻擊變得相當困難。
多種攻擊方式
更加引人擔憂的是,攻擊者使用了多種進攻方式,其中之一是以前從未見過的惡意軟體下載程式。這表示攻擊者不僅具有高超的技術,還制定多樣化的策略,以確保攻擊的成功。這種多樣性使得我們的防禦工作變得更加複雜,需要更全面的安全措施。
荷蘭網安公司揭露攻擊來源
荷蘭的一家網路安全公司 EclecticIQ,這次的調查顯示攻擊的來源指向中國,主要是因為攻擊中使用了一個名為 HyperBro 的特殊工具。HyperBro 幾乎專門被一個中國駭客 Lucky Mouse 使用,這讓中國成為主要的疑似來源。換句話說,這家荷蘭公司發現攻擊與中國有關聯,主要是根據使用的攻擊工具和特徵,因此中國成為了主要的嫌疑對象。
攻擊者之間的連結
除了指向中國之外,還發現攻擊者之間有一些相似之處,在調查中發現的攻擊活動和行為,與另一個名為RedHotel的駭客團隊的活動有一些相似之處或重疊。此外,還有一個名叫Earth Lusca的駭客團隊,也與這次攻擊有聯繫。這些聯繫表明,攻擊者之間可能存在某種程度的合作或資訊共享。
攻擊工具Cobra DocGuard和ChargeWeapon
在這次攻擊中,有一個可能被攻擊的Cobra DocGuard網頁伺服器,用來存放攻擊的惡意軟體。攻擊的一個特點是使用一個名為ChargeWeapon的工具,這是一個基於Go程式碼,其目的是在建立對受感染主機的遠端訪問時,將敏感資料傳送到攻擊者控制的伺服器上。
繞過伺服器偽裝,繞過防火牆
攻擊者也採用一種巧妙的手段,將Cobalt Strike信號標記中的C2伺服器位址偽裝成合法的jQuery CDN,以繞過防火牆的防禦。這使得攻擊者更容易將惡意軟體傳送到目標系統。
全球關注,比利時的情報報告
近日,金融時報(Financial Times)報導指出,比利時國家安全局(Veiligheid van de Staat,VSSE),正在努力檢測和打擊由包括阿里巴巴在內的中國企業可能進行的間諜或干擾行動,這表示中國的網路分裂活動已成為蔓延至國際。
國際合作與網路安全
這次攻擊事件再次提醒我們,網路安全是一個全球性的挑戰,需要國際合作和更強大的安全措施。中國的網路間諜活動正在不斷擴大,其他國家的重要基礎設施構成了嚴重威脅。共同努力,確保我們的數位世界樞紐威脅,以確保安全和穩定。企業和組織也應提高警覺,加強內部安全措施,以應對不斷發展的威脅。
資料來源:The Hacker News
瀏覽 5,373 次
