【生死時速】APT集團專吼已知漏洞 保持更新斷入侵門路
防毒軟件公司 ESET 最新發現,一班被稱為 FamousSparrow 的 APT 網絡犯罪集團正在大肆利用已知漏洞,入侵全球各地政府部門、國際機構、酒店、工程公司及法律事務處。所利用的已知漏洞包括 SharePoint、Oracle Opera、Microsoft Exchange 等伺服器服務。唯一解決方法,就是盡快安裝系統更新檔。
APT 全名為 Advanced Persistent Threat,是一種專門以收集情報為目標的網絡犯罪組織,這些組織大都有國家支援,因此賺錢並非他們的主要目標。為減少被受害企業或機構發現的機會,APT 攻擊一向以隱密性為優先,因此經常瞄準目標對象 IT 系統上存在的已知漏洞發動攻擊,以避過網絡防護工具的偵測。另外,他們亦不會長期存在於受感染的電腦設備內,只會於運作期間靜靜地將機密資料斬件外傳,或將資料藏在圖像內外傳,盡量不會出現可疑的網絡活動。
今次被 ESET 指控涉及最近多宗入侵事件的 APT 集團 FamousSparrow,據知集團最早於 2019 年 8 月已出現,受害地區包括非洲、亞洲、歐洲、中東、美洲,幾乎遍及全球各地。集團的入侵手法,跟其他 APT 集團一樣,都是大肆利用各種 IT 設備或工具的已知漏洞,Microsoft 最近公布的 ProxyLogon 漏洞便是其中一種方法,它可讓黑客遙距執行惡意編碼,在目標企業的內部網絡執行 DLL search order 騎劫技術,暗中打開一度後門,然後悄悄將機密資料回傳 C&C 控制中心。ESET 專家解釋,他們在今年三月發生的多項入侵事件中,發現 FamousSparrow 在受害企業或機構內安裝了兩個版本的 Mimikatz 帳戶資料盜竊程式、一種 SparrowDoor 後門程式及一種 NetBIOS 掃描器,可見對方可利用漏洞進行各種入侵行動。
要防止被 APT 組織入侵,安全專家建議企業或機構,應該重新審視面向互聯網的各種應用服務及電腦設備,因為黑客可以利用掃描器輕鬆掌握網上各種設備或軟件的版本,自動鎖定仍未安裝安全更新的對象發動攻擊,因此管理者絕對不能抱著僥倖心態。如有設備或應用服務出現安全漏洞,便應第一時間安裝更新,或直接執行離線或下架等安全程序。