轉載「中國駭客組織GhostEmperor捲土重來」訊息

中國駭客組織GhostEmperor捲土重來，利用惡意程式Demodex從事攻擊行動

    資安業者處理客戶遭駭的事故，發現曾在2年前出沒的中國駭客組織GhostEmperor近期再度發起攻擊行動，這些駭客採用相當隱密、罕見的攻擊手法，讓研究人員難以分析

     資安業者卡巴斯基3年前發現中國駭客組織GhostEmperor的行蹤，事隔兩年，有研究人員察覺該組織再度犯案的跡象。

去年底資安業者Sygnia收到客戶的委託，起因是他們察覺駭客破壞企業內部網路，目的是滲透合作夥伴。經過調查，駭客使用名為Demodex的rootkit變種，而這項工具與2021年9月卡巴斯基揭露的GhostEmperor有關。這些駭客運用多階段惡意軟體攻擊，從而隱密在受害組織持續運作，同時他們也利用多種手法阻止資安人員分析。

   而對於這些駭客的入侵手段，研究人員指出通常是利用Exchange漏洞ProxyLogon來取得初始權限，但也有利用其他漏洞的情況。一旦成功，對方就會執行批次檔啟動整個惡意軟體感染流程。

這些駭客執行批次檔的方式，主要是透過名為WMIExec的命令列工具來進行。該工具屬於Impacket滲透測試套件的一部分，主要用途是藉由WMI在遠端Windows電腦執行命令。而Impacket工具包是以Python打造而成，通常被用於了解程式構造或是操控網路協定。

 

【資安新聞-中央社】

資安業者：中國駭客組織GhostEmperor捲土重來

詳細資訊請參考：https://www.ithome.com.tw/news/164082