文章提供：图文资通组
文章来源：https://ithome.com.tw/news/145573
发佈日期：2021.07.11 消息来源：iThome #资讯安全 #渗透测试 #网路钓鱼

根据资安威胁资料分析公司Recorded Future的消息，疑似由中国政府资助的骇客组织，锁定的目标涵盖臺湾、菲律宾、尼泊尔、香港，而且是针对电信业、学术界、研究与开发、政府组织而来，其中，工研院因为是臺湾产业研发重镇，成为最受瞩目的目标之一，而且对方发动的攻势当中，运用了正体中文求职履歷文件作为诱饵，求才若渴的臺湾学术机构、研发单位、政府组织，都必须提高警觉！
资安威胁资料分析公司Recorded Future在7月8日发布消息，指出他们追踪的第22号威胁活动团体（TAG-22），疑似是由中国政府资助的骇客攻击组织，目前正锁定尼泊尔、菲律宾、臺湾、香港等国家或地区的电信业、学术界、研究与开发、政府组织，伺机发动攻击。
根据他们最近观察到的相关活动来看，TAG-22这个骇客组织可能在初期渗透、攻入阶段，运用被侵入的Java EE应用伺服器GlassFish，以及红队模拟测试工具Cobalt Strike，之后转而使用特制的Winnti、ShadowPad、Spyder等后门程式，透过专属、由攻击者建立的命令与控制（C2）基础架构，作为长期存取目标的手段。
这系列活动之所以能够被揭露，主要是Recorded Future公司旗下的Insikt Group团队的功劳。他们结合被动的DNS资料，以及敌对C2侦测手法，以此探查Winnti、ShadowPad、Spyder等后门程式动态，而能追踪到TAG-22相关的网路基础架构与网域名称活动。
在今年6月期间，Recorded Future的团队基于网路流量资料分析结果，找到TAG-22入侵活动锁定的具体目标，分别是：臺湾的工研院、尼泊尔电信公司、菲律宾政府的资通讯科技局。
他们认为，上述机构是TAG-22入侵行动的最终目标，当中工研院是当中最需要关注的对象，主要是因为该组织是开创、培育多家臺湾高科技公司的科技研发机构，而且，工研院主推的计画涉及智慧居家、高品质医疗、环境永续，这些领域可对应到中国优先推动的十四五规划（第十四个五年规划），也是未来中国经济间谍活动努力的目标。另一个佐证则是，近年来，中国骇客组织也持续锁定臺湾多个半导体公司，企图获取程式原始码、软体开发工具与晶片设计。

前期是透过漏洞滥用攻占应用伺服器，部署渗透测试工具，再用后门程式对受害电脑执行长期控制
在分析这起目标锁定行动的过程中，Recorded Future还发现另一件事，那就是有几臺疑似被骇客攻佔的GlassFish伺服器，正与TAG-22经营的C2基础架构暗通款曲，进行网路通讯。而此事与最近NTT发布的Winnti调查报告有关，他们发现这个骇客组织滥用GlassFish伺服器软体3.1.2版的漏洞，随后攻佔系统、再从这里产生前进目标的入侵行动，例如，运用Acunetix弱点扫描工具软体，然后部署Cobalt Strike这类渗透测试工具。而这些都是本次入侵行动的早期阶段，接下来，会转进到另一种专属基础架构，也就是植入ShadowPad、Spyder、Winnti等恶意软体来进行控管。
为了让这个专属基础架构能在网际网路上存在、提供进行连线，Recorded Future发现，TAG-22所使用的网域名称，都是在Namecheap、Choopa/Vultr这几家虚拟主机代管业者註册的。

臺湾是恶意软体攻击目标，徵才机构或企业要小心！因为骇客以正体中文求职履歷文件作为钓鱼诱饵
在分析TAG-22经营的攻击基础架构之后，RecordedFuture也找到几个运用Cobalt Strike渗透的样本，而这些迹象，有可能是该骇客组织为了在目标环境建立初期据点，所习于採用的手法。
同时，他们还会使用特制的Cobalt Strike载入器，而在这当中，可基于几个样本里面存在的除错字串，找到这支恶意软体的作者名号：Fishmaster。
值得注意的是，在每个案例当中，都有个使用者出现在诱饵文件，TAG-22会运用恶意巨集去散播上述的Fishmaster载入器。根据Recorded Future列出的一个诱饵文件样本来看，这是一份以正体中文撰写的个人履歷文件，而由于这个骇客组织大范围锁定臺湾为目标，因此，Recorded Future认为，因为如此独特的诱饵，所以，显然臺湾的组织可能是此种攻击型态的目标。