作者
標題 [新聞] 中國駭客假借台積電的名義對半導體產業散
時間 Sat Oct 7 20:42:07 2023
標題 [新聞] 中國駭客假借台積電的名義對半導體產業散
時間 Sat Oct 7 20:42:07 2023
中國駭客假借台積電的名義對半導體產業散布Cobalt Strike
ithome
文/周峻佑 | 2023-10-06發表
https://www.ithome.com.tw/news/159184
![[圖]](https://s4.itho.me/sites/default/files/field/image/chinese_cyberespionage_east_asia_-_image3.png)
https://imgur.com/J6RRZJM
![[圖]](http://i.imgur.com/J6RRZJMh.jpg)
而,最近有人打著該公司的名號,意圖滲透半導體相關產業的廠商。
資安業者EclecticIQ揭露針對臺灣、香港、新加坡半導體公司的攻擊行動,駭客疑似透過
釣魚郵件,寄送聲稱是台灣積體電路製造公司(台積電)的簡介PDF檔案,一旦收信人開
啟該文件,電腦就會啟動名為HyperBro的惡意程式載入工具,該軟體透過資安業者
釣魚郵件,寄送聲稱是台灣積體電路製造公司(台積電)的簡介PDF檔案,一旦收信人開
啟該文件,電腦就會啟動名為HyperBro的惡意程式載入工具,該軟體透過資安業者
CyberArk應用程式的執行檔vfhost.exe,進行DLL側載(DLL Side-loading),然後於記
憶體內(In-memory)執行Cobalt Strike的Beacon元件
https://imgur.com/4pG4dWI
![[圖]](http://i.imgur.com/4pG4dWIh.jpg)
研究人員針對該Beacon元件進行分析,他們發現駭客利用過往未被揭露的惡意程式下載工
具進行滲透。基本上,這個工具透過Windows內建的PowerShell及BitsTransfer模組,從
已被入侵的中國億賽通(EsafeNet)Cobra DocGuard加解密伺服器取得惡意程式,接下來
,這個程式安裝啟動之後,會利用另一家資安業者McAfee簽章的可執行檔mcods.exe,運
用DLL側載手法執行Cobalt Strike的Shell Code,而該Shell Code連線的C2伺服器IP位址
,與HyperBro相同。
具進行滲透。基本上,這個工具透過Windows內建的PowerShell及BitsTransfer模組,從
已被入侵的中國億賽通(EsafeNet)Cobra DocGuard加解密伺服器取得惡意程式,接下來
,這個程式安裝啟動之後,會利用另一家資安業者McAfee簽章的可執行檔mcods.exe,運
用DLL側載手法執行Cobalt Strike的Shell Code,而該Shell Code連線的C2伺服器IP位址
,與HyperBro相同。
https://imgur.com/5Laqozz
![[圖]](http://i.imgur.com/5Laqozzh.jpg)
此外,上述的加解密伺服器也被植入以Go程式語言打造的後門程式ChargeWeapon,使得攻
擊者能藉此取得受害電腦資訊。這個後門程式具備5項主要特性,分別是使用Windows內建
的命令列介面(CLI)與遠端裝置互動、執行WMI、與C2連線流量採用Base64演算法混淆、
採用TCP over HTTP連線模式,且能夠在受害電腦任意讀取或寫入檔案。研究人員指出,
駭客在該後門程式導入名為garble的開源混淆工具,他們在公布調查結果的時候,惡意程
式偵測平臺VirusTotal僅有4款防毒引擎將其視為惡意程式。
擊者能藉此取得受害電腦資訊。這個後門程式具備5項主要特性,分別是使用Windows內建
的命令列介面(CLI)與遠端裝置互動、執行WMI、與C2連線流量採用Base64演算法混淆、
採用TCP over HTTP連線模式,且能夠在受害電腦任意讀取或寫入檔案。研究人員指出,
駭客在該後門程式導入名為garble的開源混淆工具,他們在公布調查結果的時候,惡意程
式偵測平臺VirusTotal僅有4款防毒引擎將其視為惡意程式。
特別的是,為了繞過防火牆系統,駭客將C2伺服器偽裝成jQuery CDN。而根據攻擊者使用
的手法,研究人員推測是來自中國的駭客。
https://imgur.com/md5OJJF
![[圖]](http://i.imgur.com/md5OJJFh.jpg)
研究人員針對這起攻擊行動所採用的HyperBro進行分析,發現駭客採用的變種程式攻擊行
動更為隱密。他們發現,駭客藉由DLL側載來成功執行HyperBro的載入程式VFTRACE.dll之
後,該程式庫檔案將會針對名為bin.config的檔案進行解密,該組態檔案內含由XOR演算
法進行加密的Cobalt Strike的Shell Code。成功完成解密後,此Shell Code就會載入
動更為隱密。他們發現,駭客藉由DLL側載來成功執行HyperBro的載入程式VFTRACE.dll之
後,該程式庫檔案將會針對名為bin.config的檔案進行解密,該組態檔案內含由XOR演算
法進行加密的Cobalt Strike的Shell Code。成功完成解密後,此Shell Code就會載入
vfhost.exe。
值得一提的是,駭客加密Shell Code的手法,與一般的攻擊行動有所不同,他們的解密過
程當中,使用了只有1個位元組長度的金鑰(0x01),目的是要規避以特徵碼為基礎的惡
意程式偵測機制。換言之,攻擊者採用了相當簡單的混淆手法,使得防毒軟體偵測的成功
率極低。
程當中,使用了只有1個位元組長度的金鑰(0x01),目的是要規避以特徵碼為基礎的惡
意程式偵測機制。換言之,攻擊者採用了相當簡單的混淆手法,使得防毒軟體偵測的成功
率極低。
針對另一個從Cobra DocGuard加解密伺服器傳輸的惡意程式,研究人員發現與HyperBro有
多項共通點,包含都是利用資安業者的可執行檔進行DLL側載的方式執行、C2的IP位址相
同,以及從bin.config解密Cobalt Strike的Shell Code來建立C2連線。但不同的地方在
於,新的惡意軟體攻擊行動裡,駭客採用的解密金鑰長度是16個位元組,再者,此惡意程
式採用未記載的NTAPI功能,而非像HyperBro使用常見的Windows API功能。
多項共通點,包含都是利用資安業者的可執行檔進行DLL側載的方式執行、C2的IP位址相
同,以及從bin.config解密Cobalt Strike的Shell Code來建立C2連線。但不同的地方在
於,新的惡意軟體攻擊行動裡,駭客採用的解密金鑰長度是16個位元組,再者,此惡意程
式採用未記載的NTAPI功能,而非像HyperBro使用常見的Windows API功能。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 150.117.23.95 (臺灣)
※ 作者: hellspeak 2023-10-07 20:42:07
※ 文章代碼(AID): #1b8L8X7K (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1696682529.A.1D4.html
推 : 駭了有啥用 沒機器 沒設計圖 沒人才1F 123.110.205.181 台灣 10/07 20:44
推 : 為何沒攻擊白人國家?2F 223.140.134.7 台灣 10/07 20:47
推 : 支那垃圾3F 223.138.128.165 台灣 10/07 20:47
噓 : 最好是資安業者發現,然後台積電沒發現,笑死
講得跟真的一樣,所以台積電是委託有這家公司膩?如果沒有是在幻想啥4F 36.239.86.97 台灣 10/07 20:50
講得跟真的一樣,所以台積電是委託有這家公司膩?如果沒有是在幻想啥4F 36.239.86.97 台灣 10/07 20:50
→ : 真正的網軍 跟虛假的網軍8F 141.70.30.222 德國 10/07 20:53
--
作者 hellspeak 的最新發文:
![]()
網友投票第一名報導 「溫度計往下一插,20公分」 (影) 第二名 - 逃之夭夭 (影) 第三名 - 女記者溜滑梯驚叫聲 (影) 第四名 - 900毫米 (影) 第五名 - 剛剛有擠上去嗎 其他排名 …129F 81推 1噓- 10F 4推 5噓
![]()
如果全世界蛋餅只能有一種口味 該怎麼選 起司 培根 鮪魚 肉鬆 我會選培根蛋餅耶 又油又爽 應該沒有肥宅不認同吧 看更多28種蛋餅投票:153F 99推 9噓- 14F 6推
- 26F 8推 6噓
點此顯示更多發文記錄