產品與服務
RSS

調查局 08/19 公布中國對台灣政府機關駭侵事件說明

8.22.2020Global Support & Service
Share:

前言

法務部調查局綜整近期所偵辦的數起台灣政府機關遭駭案件,於 19 日發表記者會,提到政府部門的委外資訊服務供應商遭中國駭客組織攻擊現況,目前已知有市政府、水資源局等至少 10 個單位,以及 4 家資訊服務供應商遇害。
調查局資安工作站也發現,駭客在入侵政府機關內部的主機與伺服器後,為了要長期潛伏以及將獲取資料傳出,還會安裝 SoftEther VPN 程式,以連線到駭客指定的中繼站。
本次調查局公布的攻擊族群:MustangPanda、APT40、Blacktech 與 Taidoor,皆是 TeamT5 長期追蹤的標的,我們有信心能夠偵測這些族群使用的後門程式、駭客工具以及攻擊手法。
0822-1 圖一、駭客透過供應鏈攻擊我政府機關 -1(圖片來源:法務部調查局)
0822-2 圖二、駭客透過供應鏈攻擊我政府機關 -2(圖片來源:法務部調查局)

IOC 情資

TeamT5 長期進行駭客追蹤研究,根據法務部調查局所提供的情資內容,關聯出駭客族群慣用的惡意程式與相關 IOC 情資供使用者匯入至閘道端或端點防護設備比對使用,詳細惡意程式說明與 IOC 清單如下所示。

惡意程式家族類型描述攻擊族群首次出現
dbgPrintRATdbgPrint 為中國駭客族群 HUAPI 慣用的後門程式,其名稱來自於該後門程式早期版本的字串(strings)內容。dbgPrint 後門程式通常由 PE 型態的 Loader、插入 shellcode 的 DLL 檔及惡意 Payload 所組成。同時也具備防毒免殺(anti-antivirus)的功能模組。HUAPI (又稱為 Plead 或 Blacktech)2009 年
CobaltStrike BeaconRATCobalt Strike 是一款滲透測試或紅隊演練常使用的攻擊框架,而 CobaltStrike Beacon 則是從 Cobalt Strike 攻擊框架所產生的惡意 Payload。雖然 Cobalt Strike 為商業付費工具,但是經過破解並流傳於許多論壇或網站中,因此有許多駭客皆透過他進行惡意攻擊。商業付費工具,無法明確定義出背後的攻擊族群2016 年
表一、惡意程式分析說明


IOC類型提供來源
manage.lutengtw.comDomain法務部調查局
dccpulic.lutengtw.comDomain法務部調查局
trust.utoggsv.comDomain法務部調查局
wg1.inkeslive.comDomain法務部調查局
k3ad01.rutentw.comDomain法務部調查局
ams05.csksogo.comDomain法務部調查局
edgekey.whybbot.comDomain法務部調查局
shed.inkeslive.comDomain法務部調查局
ap21.gckerda.comDomain法務部調查局
cornerth.comDomain法務部調查局
teamcorner.nctu.meDomain法務部調查局
43.240.12.81IP Address法務部調查局
45.124.25.31IP Address法務部調查局
45.124.25.226IP Address法務部調查局
103.193.149.26IP Address法務部調查局
103.240.202.34IP Address法務部調查局
a8373a143a915518a33c4af19fff01e7MD5 HashTeamT5
20714b487b5b63ff8e52b911d19d6da1MD5 HashTeamT5
6c490c833bfff677c89d9bb81bef0cf5MD5 HashTeamT5
d395580fea6fb840798dc1ee65756484MD5 HashTeamT5
4a1941df8b251716f66e2777425ac0e5MD5 HashTeamT5
c11f40af68c07b309bd103d69b7bb14aMD5 HashTeamT5
387fe30ffc270939c299d1eaebcdcd4dMD5 HashTeamT5
93bfdce35e3ab86508e09deedca6552fMD5 HashTeamT5
1857fbce5c5269a1d4e40204ccccd7d1MD5 HashTeamT5
www.kaspersky-security.netDomainTeamT5
www.symantec-endpoint.netDomainTeamT5
www.symantec-product.comDomainTeamT5
update.symantec-product.comDomainTeamT5
update.trendmicro-service.comDomainTeamT5
googleupdatesrv.comDomainTeamT5
103.234.96.213IP AddressTeamT5
103.242.0.152IP AddressTeamT5
43.240.12.80IP AddressTeamT5
43.240.12.82IP AddressTeamT5
43.240.12.83IP AddressTeamT5
45.32.43.59IP AddressTeamT5
45.76.189.109IP AddressTeamT5
表二、IOC 清單

ThreatSonar 惡意威脅鑑識分析平臺的用戶,可將上方表二之 IOC 匯入以強化威脅偵測與識別,亦可追溯比對過去資料是否命中 IOC。示意圖如下。
0822-3.2 圖三、ThreatSonar 支援 Hash、IP 及 Domain IOC 情資匯入

如何透過威脅狩獵找出 SoftEther VPN 程式

根據法務部調查局的偵辦結果,駭客為了長期潛伏於受害環境,因此會透過 SoftEther 這類的合法 VPN 程式進行遠端控制。ThreatSonar 具備主動威脅狩獵(Threat Hunting)功能,故可以快速地在環境中找出 SoftEther VPN 程式。
其步驟為在威脅狩獵(Hunter)功能中,切換 Scope 至憑證(Certificate),搜尋 "filename ~ softether"(請選擇 Engine Version 為全選),可依憑證內容搜尋環境內符合條件的 SoftEther 憑證及其對應的端點與程式清單。其流程步驟示意圖如下。
0822-4.2 圖四、以 filename 查詢符合條件的 SoftEther 憑證

0822-5.2 圖五、具備 SoftEther 憑證的端點與程式清單

0822-6.2 圖六、駭客將 SoftEther VPN 程式偽裝成 svchost.exe
*圖片來源:Unsplash
8.22.2020Global Support & Service
Share:

Related Post

Threat Intelligence
5.10.2021

2020 年台灣 APT 網路攻擊態勢

Taiwan, APT, cyber threat intelligence, 威脅情資, 資安情資, threat hunting
Technical Analysis
12.16.2020

TeamT5 安全性通報-知名 IT 監控平臺 SolarWinds Orion 證實遭供應鏈攻擊

ThreatSonar, supply chain attack, SolarWinds, SUNBURST, FireEye, cyber threat intelligence, threat hunting