臺灣企業組織遭到中國駭客Flax Typhoon寄生攻擊

圖片來源: 

微軟

微軟揭露，其主要目標是臺灣的政府機關、教育機構、重要製造商、資訊科技組織等數十個單位，但研究人員也有看到東南亞、北美、非洲的組織受害。

這些駭客鎖定可透過網際網路存取的伺服器，例如：VPN主機、網頁伺服器、SQL Server資料庫等，利用已知漏洞取得初期存取的權限，然後部署大小僅有4 KB的Web Shell中國菜刀（China Chopper），以便遠端執行命令，過程中駭客可能為了提升權限，他們會透過開源程式Juicy Potato或BadPotato來利用系統的已知漏洞，取得管理者層級的權限。

接著，駭客利用登錄檔關閉網路層身分驗證（NLA），且透過粘滯鍵（Sticky Keys）建立遠端桌面連線（RDP），而能夠持續存取受害伺服器，甚至取得啟動終端機、導出記憶體內容的能力。

屏東借錢。感應門神,推薦沙發修理,老師傅的專業手工!測試專家告訴你如何好好使用示波器。大阪包車好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!屏東借款！如何利用一般常見的「L型資料夾」真空封口機該不該買?使用心得分享！專業客製化禮物、贈品設計，辦公用品常見【L夾】搖身一變大受好評!日本包車台灣護照代辦申辦工作天及價錢!空壓機合理價格為您解決工作中需要。貨櫃屋，結合生活理念、發揮無限的創意及時尚的設計。三個月單次觀光泰國簽證需準備哪些資料?竹北床墊推薦！總是為了廚餘煩惱嗎？雅高環保提供最適用的廚餘機，滿足多樣需求。沙發換皮省更多,延長老沙發壽命!竹北床墊工廠,賣場商品防竊是怎麼做的?為什麼辦理台胞證需要護照正本?屏東軍公教借款各家評價及利息一覽表。東京包車。三洋服務站全台據點。

濫用開源VPN應用程式建立新的存取管道，並進一步用來攻擊其他受害電腦

特別的是，駭客為了跳脫他們設計的RDP只能存取內部網路的限制，再度透過寄生攻擊（LOLBins）手法，利用名為Invoke-WebRequest的PowerShell指令碼，或是Bitsadmin、certutil，部署SoftEther的VPN用戶端程式。再者，駭客也透過WinRM、WMIC來進行橫向移動。

攻擊者為了避免建立的VPN連線被發現，他們採取了多種措施。在部署之前，駭客會調查企業環境裡存在的VPN應用程式；再者，在大部分的攻擊行動裡，駭客會將VPN應用程式的可執行檔重新命名成Windows元件的名稱，如：conhost.exe或dllhost.exe，這些分別是名為Console Window Host Process、Component Object Model Surrogate元件的檔案名稱。其次，他們濫用SoftEther的VPN-over-HTTPS操作模式，使得相關網路流量被封裝成相容於HTTPS的資料，並透過TCP通訊協定443埠進行傳輸。如此一來，企業組織難以識別這種VPN連線與一般的HTTPS流量。

而上述的VPN連線駭客還進一步加以利用，透過SoftEther的VPN橋接功能，將網路攻擊流量路由到其他的受害系統，這些流量被用於網路掃描、漏洞掃描、弱點嘗試利用等。

一旦駭客成功建立上述的VPN存取管道，通常他們就會利用Mimikatz，鎖定本機安全認證子系統服務（LSASS）處理程序占用的記憶體內容、安全性帳號管理員（SAM）登錄檔配置的內容，來竊取本機用戶的密碼雜湊值，然後進一步存取受害組織網路環境的其他資源。此外，駭客還會列舉系統還原功能的還原點，目的是從中了解受害電腦狀態，或是抹除惡意活動的跡象。

https://www.ithome.com.tw/news/158467