按 Enter 到主內容區
:::

TWCERT-電子報

:::

多國電信業者遭 APT 駭侵團體駭入

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-02-01
  • 點閱次數:1363
多國電信業者遭 APT 駭侵團體駭入 TWCERT/CC

資安廠商指出,有 APT 駭侵團體自 2020 年初開始針對多個國家的電信業者與 ISP 發動攻擊,竊取情報與機敏資訊。

以色列資安廠商 Clearsky,日前發表研究報告指出,一個 APT 駭侵團體「黎巴嫩雪松」(Lebanese Cedar),自 2020 年初開始針對多個國家的電信業者與 ISP 發動攻擊,主要目的疑為竊取情報與機敏資訊。

據 Clearsky 的報告指出,受到 Lebanese Cedar 駭侵攻擊的電信業者與 ISP,分布在美國、英國、以色列、埃及、沙烏地阿拉伯、黎巴嫩、約旦、巴勒斯坦與阿拉伯聯合大公國等;遭到駭入的 web server 數量超過 250 台。

Clearsky 表示,這些電信業者和 ISP 的各種資料,包括旗下用戶的通訊記錄、各種隱私資訊,可能均已遭到 Lebanese Cedar 竊取。

Clearsky 指出,Lebanese Cedar 的攻擊方式,採取一種簡單但有效的手法:先以網路上很容易找到的開放源碼駭侵工具,在網路上掃瞄,尋找還存有未修補漏洞的 Atlassian 和 Oracle 伺服器,接著設法侵入該伺服器,並且安裝一個 web shell 以待日後利用。

這些被找出來的未修補 Atlassian 和 Oracle 伺服器,多半存有以下三個已知漏洞,因而遭到入侵:

  • CVE-2019-3396:存於 Atlassian Confluence
  • CVE-2019-11581:存於 Atlassian Jira
  • CVE-2012-3152:存於 Oracle Fusion

透過這些漏洞進入系統後,攻擊者更會在受害公司的內部網路,植入更強大的後門惡意軟體 Explosive;駭侵者經常使用這個惡意軟體來竊取各種資料。

Clearsky 在報告中,也列出了目前已知遭到駭入的各國電信業者與 ISP 名單。

回頁首