新駭客組織 Grayling 對台生技、製造和 IT 業發起間諜活動

賽門鐵克發現一個之前未聽說過的國家駭客組織，正針對台灣的製造業、生技業及 IT 業公司與越南、美國及一個太平洋小島發動網路攻擊。

研究人員將組織命名為 Grayling，表示該群人是利用自製惡意程式及可公開取得的工具攻擊目標組織。

這波攻擊從 2 月一直延續到 5 月，因為使用很特別的駭客工具而引起研究人員注意。他們判斷，攻擊意圖在於進行間諜活動，金錢不是目的。他們發現，受害者包含台灣製造業、IT 及生技產業的多家公司、以及一個太平洋小島的政府單位，以及分別位於越南和美國的不知名單位。

賽門鐵克研究人員指出，跡象顯示 Grayling 可能從面向網際網路的基礎架構切入，以各種方法敲進大門，存取受害者電腦，包括權限擴大、網路掃瞄和使用下載器程式等。

例如駭客使用一種名為 Havoc 的開原碼工具，因可作為 Cobalt Strike 替代品而聞名。駭客能用它來在受害者機器上下載其他酬載、執行指令、操控 Windows 令牌等等。

賽門鐵克研究人員觀察到，駭客使用名為 NetSpy 的間諜軟體，並濫用知名的 Windows 漏洞 CVE-2019-0803。雖然他們尚未看到受害者機器有資料外洩，但駭客部署的工具及其活動則顯示活動動機可能在情報蒐集。而受害組織的產業，傳統上也是情報蒐集（而非金錢為目的）的熱點。

研究人員指出，自製結合公開下載的工具，是現今國家駭客的典型手法，相對之下，金錢為目的的網路罪犯則慣常使用公開工具或離地攻擊 (living-off-the-land) 工具，以便繞過安全軟體及躲避安全專家的法眼。

賽門鐵克不願指明對台攻擊的是哪國駭客，但表示，極可能是來自對台灣「策略性興趣」的地區。

五月美國政府和微軟點名中國駭客感染關島上美國軍事基地的關鍵基礎架構或其他系統。

賽門鐵克今年稍早也發佈多項報告，追蹤中國駭客針對越南、其他東南亞國家及台灣發動的網路間諜活動。

來源：The Record