• 發布單位:TWCERT/CC
• 更新日期:2023-02-06
• 點閱次數:131

資安廠商 WithSecure 日前發表研究報告，指出該公司旗下的資安研究人員，發現 Lazarus 駭侵團體涉嫌於 2022 年第四季針對印度公私立醫療、科技與能源研究單位和其供應鏈發動駭侵監控攻擊，其主要目的推定為情報收集分析。

報告詳細描述 WithSecure 觀察到的駭侵程序；首先是以 Zimbra mail server 軟體中已知的漏洞 CVE-2022-27925 和 CVE-2022-37042 侵入受駭單位的內部網路，並利用另一個已知漏洞「pwnkit」 CVE-2021-4034 來提升自我執行權限到 root 等級。

接著駭侵者利用 shelf webshell 和自製駭侵工具來安裝 proxy、tunnel 和連線中繼工具，並利用受駭者 Windows 網域中使用老舊作業系統 Windows XP 的主機來進一步安裝其他駭侵工具如 Grease、Minikatz 和 Cobalt Strike 等。駭侵者最後取得約 100GB 資料傳送到其設立的控制伺服器，但沒有進行任何破壞行為。

整個駭侵過程自 2022 年 8 月 22 日起，到 2022 年 11 月 11 日為止，約近三個月時間。

WithSecure 的報告指出，由駭侵者的作案手法與駭侵過程途中犯下的各種錯誤，研判後認定該駭侵活動 Lazarus 駭侵團體有高度相關性。

由此份報告中可獲知，駭侵者均使用各種軟硬體的已知漏洞進行攻擊，因此各公私單位的系統管理者，必須隨時更新使用中的各種軟硬體到最新版本，並列入定期維護的標準作業程序，以防駭侵者利用已知漏洞發動攻擊。