按 Enter 到主內容區
:::

TWCERT-電子報

:::

駭侵團體攻擊印度某醫療、能源研究領域與供應鏈以竊取情報

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-02-06
  • 點閱次數:105
駭侵團體攻擊印度某醫療、能源研究領域與供應鏈以竊取情報 twcertcc

資安廠商 WithSecure 日前發表研究報告,指出該公司旗下的資安研究人員,發現 Lazarus 駭侵團體涉嫌於 2022 年第四季針對印度公私立醫療、科技與能源研究單位和其供應鏈發動駭侵監控攻擊,其主要目的推定為情報收集分析。

報告詳細描述 WithSecure 觀察到的駭侵程序;首先是以 Zimbra mail server 軟體中已知的漏洞 CVE-2022-27925 和 CVE-2022-37042 侵入受駭單位的內部網路,並利用另一個已知漏洞「pwnkit」 CVE-2021-4034 來提升自我執行權限到 root 等級。

接著駭侵者利用 shelf webshell 和自製駭侵工具來安裝 proxy、tunnel 和連線中繼工具,並利用受駭者 Windows 網域中使用老舊作業系統 Windows XP 的主機來進一步安裝其他駭侵工具如 Grease、Minikatz 和 Cobalt Strike 等。駭侵者最後取得約 100GB 資料傳送到其設立的控制伺服器,但沒有進行任何破壞行為。

整個駭侵過程自 2022 年 8 月 22 日起,到 2022 年 11 月 11 日為止,約近三個月時間。

WithSecure 的報告指出,由駭侵者的作案手法與駭侵過程途中犯下的各種錯誤,研判後認定該駭侵活動 Lazarus 駭侵團體有高度相關性。

由此份報告中可獲知,駭侵者均使用各種軟硬體的已知漏洞進行攻擊,因此各公私單位的系統管理者,必須隨時更新使用中的各種軟硬體到最新版本,並列入定期維護的標準作業程序,以防駭侵者利用已知漏洞發動攻擊。

 

回頁首