企業資安部落格文章精選(隨時更新)
PeckBirdy:親中駭客集團在 LOLBin 攻擊手法中使用的多功能腳本框架
重點摘要
- PeckBirdy 是親中 APT 集團自 2023 年起便開始採用的一套 JScript 幕後操縱 (CC) 框架,採用可跨環境執行的設計來提供靈活的部署能力。
- HOLODONUT 和 MKDOOR 這兩個模組化後門程式在 PeckBirdy 核心功能的基礎上,進一步擴展了攻擊能力。
- 此外,還有另外兩起攻擊行動:SHADOW-VOID-044 和 SHADOW-EARTH-045 示範了使用 PeckBirdy 的親中駭客集團如何在多個管道上發動聯合攻擊。
- 其中一起攻擊行動利用偷來的程式碼簽章憑證簽署 Cobalt Strike 惡意檔案,以及多個 CC 網域和 IP 位址上的漏洞攻擊程式碼 (CVE-2020-16040) 來常駐於受害環境。
⟫ 完整文章
- TrendAI™ Research 分析了一起針對 EmEditor 文字編輯器的軟體供應鏈入侵事件,EmEditor 是全球開發人員社群廣泛使用的文字編輯器。駭客利用一個被篡改的安裝程式來散布多重階段惡意程式,用於執行各種惡意動作。
- 這個被篡改的安裝程式版本,可經由橫向移動來竊取登入憑證、將資料外傳,並且執行後續入侵行動。由於其惡意行為刻意延遲到安裝之後才出現,如此可躲避早期偵測並延長滯留時間,進而提高了營運中斷的可能性。
- 凡是經由公開管道下載第三方 Windows 平台軟體的企業,都有可能暴露於這類風險。資安長 (CISO) 應檢查一下自己的企業是否有持續監控來自可信賴安裝程式與開發人員工具的活動。
- TrendAI Vision One™ 已經可以偵測並攔截本文討論到的入侵指標 (IoC)。此外,TrendAI™ 客戶還可透過量身訂製的追蹤查詢、Threat Insights 及 Intelligence Reports 來深入了解這起攻擊並主動加以防範。⟫ 完整文章
