吳明宜一群駭客利用安全軟體 Check Point 的漏洞,在企業用戶網路中植入 PlugX 及 ShadowsPad 後門程式竊密,有的還導致勒索軟體 NailaoLocker 攻擊。
資安廠商 Orange Cyberdefense CERT 指出,這起攻擊發生在 2024 年 6 月到 10 月間。攻擊者利用 Check Point 網路閘道安全軟體的重大漏洞 CVE 2024-24919,發動 DLL search-order 劫持攻擊。受到影響的是啟用遠端或手機存取 VPN 的 Check Point Security Gateways 系統。
CVE 2024-24919 是一個零時差漏洞,可讓攻擊者竊取用戶憑證,進而利用合法帳號連結用戶 VPN 。 Check Point 去年 5 月已經修補,但是可能在 4 月初都還被用來攻擊企業。
研究人員將去年發現的攻擊,稱為 Green Nailao(綠奶酪),受害者包括歐洲組織,又以醫院最多。這樁攻擊中駭客在受害系統中發動 DLL search-order 劫持。研究人員指出,DLL search-order 攻擊手法是串接執行 3 個檔案,包括合法執行檔、 DLL loader 及加密惡意程式,側載惡意 DLL 到合法執行檔以執行這後門程式。而在竊密過程中,之前 SecureWorks 研究人員將這種手法指向中國國家駭客 Bronze University,而植入的 ShadowPad 是 PlugX 的演進版,目前研究也都和中國的精準入侵攻擊有關。 OrangeCyber Defense 也認為其手法和中國駭客 Cluster Alpha 高度相關。
f 另外,研究人員也在一些受害組織中發現之前未見過的勒索軟體程式,他們稱為 NailaoLocker 。它會要求受害單位支付比特幣,並以 Proton Mail 信箱聯繫。
研究人員指出,除了金錢損失外,攻擊者也可能日後利用這次取得的用戶憑證,作為其他攻擊行動。
研究人員呼籲用戶企業儘速更新到最新版本軟體,並公佈入侵指標及防禦的 Yara Rules 。