發布單位:TWCERT/CC
更新日期:2023-02-06
資安廠商 WithSecure 日前發表研究報告,指出該公司旗下的資安研究人員,發現 Lazarus 駭侵團體涉嫌於 2022 年第四季針對印度公私立醫療、科技與能源研究單位和其供應鏈發動駭侵監控攻擊,其主要目的推定為情報收集分析。
報告詳細描述 WithSecure 觀察到的駭侵程序;首先是以 Zimbra mail server 軟體中已知的漏洞 CVE-2022-27925 和 CVE-2022-37042 侵入受駭單位的內部網路,並利用另一個已知漏洞「pwnkit」 CVE-2021-4034 來提升自我執行權限到 root 等級。
接著駭侵者利用 shelf webshell 和自製駭侵工具來安裝 proxy、tunnel 和連線中繼工具,並利用受駭者 Windows 網域中使用老舊作業系統 Windows XP 的主機來進一步安裝其他駭侵工具如 Grease、Minikatz 和 Cobalt Strike 等。駭侵者最後取得約 100GB 資料傳送到其設立的控制伺服器,但沒有進行任何破壞行為。
