一個新興國家駭客組織攻擊亞洲及歐洲的微軟Exchange Server用戶超過一年,其中包括臺灣、越南用戶。
卡巴斯基旗下的GReAT(Global Research & Analysis Team)研究人員發現2020年底起,該公司命名為ToddyCat的新駭客組織開始攻擊Exchange Server歐洲及亞洲用戶,而且專門鎖定高知名度組織,包括政府、軍事單位和軍方外包商。
卡巴斯基掌握ToddyCat的身份的資訊不多,只知和另一個發動FunnyDream後門程式、講中文的駭客組織活動期間相近。他們由其攻擊目標,判斷是進階滲透威脅(APT)的國家駭客。駭客刻意將目標放在政府及軍事組織,藉此達到他們地緣政治利益等目的。
這個組織最早活動時期為何,研究人員無法斷定,也不知道他們是利用Exchange Server哪個漏洞。可以確定的是,2020年底到2021年2月之間是攻擊的第一波時期,且受害者都是Exchange Server,臺灣和越南3個組織的少數Exchange Server遭到攻擊。隨後2月底到3月初ToddyCat轉趨積極,開始開採Exchange Server的ProxyLogon漏洞,攻擊歐洲及亞洲組織。
在調查臺灣及越南的攻擊中,研究人員也發現了2個之前不知道的攻擊工具。ToddyCat先是駭入了Exchange Server,於受害者機器上部署China Chopper webshell程式,開始多階段感染鏈。最後,在受害者網路上植入之前沒被發現的後門程式Samurai及木馬程式Ninja Trojan。
如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!
以設計的實用美學觀點,規劃出舒適、美觀的視覺畫面,有效提昇使用者的心理期待,營造出輕鬆、愉悅的網站瀏覽體驗。
網頁設計公司推薦不同的風格,搶佔消費者視覺第一線
透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗,所以不用擔心有手機版網站兩個後台的問題,而視覺效果也是透過我們前端設計師優秀的空間比例設計,不會因為畫面變大變小而影響到整體視覺的美感。
最熱情、專業有口碑的網頁設計公司讓您的網站改頭換面。
圖片來源/卡巴斯基
Samurai是被動式後門程式,經由port 80和443運作,可遠端執行任意C#程式,配合多種模組讓攻擊者執行遠端程式並在目標網路上橫向移動。Ninja是一個後攻擊(post-exploitation)工具,類似Cobalt Strike,可在受害者機器上建立C&C伺服器以執行遠端控制、還能修改HTTP header及URL 路徑,以偽裝惡意流量,躲避偵測。
除了臺灣和越南的政府組織外,卡巴斯基觀測到其他受害者分布地點為阿富汗、印度、印尼、馬來西亞、泰國、巴基斯坦、俄羅斯、英國、烏茲別克等國。
事實上,3月以後,Exchange Server 被攻擊的歷史就相當清楚。有一個稱為Websiic的駭客組織利用Exchange Server的ProxyLogon漏洞發動攻擊,並且在受害伺服器上部署China Chopper webshell程式。事實上,資安廠商戴夫寇爾及Volexity等安全廠商分別追查到,2020年底及2021年初,ProxyLogon漏洞就已經有駭客開採活動,包括微軟稱為Hafnium的中國國家駭客。惟這些駭客組織是同一個或許多不同組織則不得而知。
來源鏈接:https://www.ithome.com.tw/news/151549
推薦評價好的iphone維修中心
擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢
想知道最厲害的網頁設計公司嚨底家!
RWD(響應式網頁設計)是透過瀏覽器的解析度來判斷要給使用者看到的樣貌
推薦評價好的iphone維修中心
擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢