ithome
台湾研究机构遭中国骇客组织APT41攻击
研究人员公布去年中国骇客组织APT41针对台湾政府机关所属的研究机构从事攻击的资安
事故，值得留意的是，骇客利用旧版微软Office随附的IME元件，以及开源的回避侦测工
具来躲过防毒软件的拦截
文/周峻佑 | 2024-08-05发表
恶名昭彰的中国骇客组织APT41近年来动作频频，其动态尤其引人关注，自资安业者
Mandiant公布该组织渗透全球航运、物流、媒体及娱乐产业的攻击行动，有研究人员公布
专门针对台湾而来的资安事故。
思科旗下威胁情报团队Talos揭露APT41针对台湾政府所属研究机构的攻击行动，遭骇单位
是隶属台湾政府旗下的研究机构，专精于运算与科技领域，研判骇客的目的很有可能是窃
取专利资料或是敏感的技术。
思科去年8月侦测到受害组织的IP位址在下载PowerShell指令码，并执行恶意命令的情况
，事实上，根据他们的追踪，这些骇客从去年7月开始，存取其中3台主机，滥用微软办公
室软件Office的旧版输入法编辑器（IME）档案，以及已知漏洞CVE-2018-0824，将恶意程
式ShadowPad、Cobalt Strike，以及其他后续作案的攻击工具植入这个研究机构当中，至
少有11天之久，但究竟有多少资料遭窃，思科并未透露。
对于这起事故的发现，研究人员指出，当这些骇客取得初始的存取权限后，他们开始在电
脑执行恶意程式码以便持续在该机构网络环境活动，在网页服务器植入Web Shell而能进
行侦察并下达命令，最终部署恶意程式，而根据散布恶意程式的手法，研究人员大致区分
成3种型态，包含了使用Web Shell、远端桌面存取（RDP），以及反向Shell。
研究人员提到，当骇客在试图投放ShadowPad部分元件的过程里，遭到受害主机上思科的
资安防护系统拦截，于是骇客改变手法试图绕过，并从架设在主机代管业者战国策（
www.nss.com[.]tw）的C2服务器下载Cobalt Strike。骇客使用能够回避防毒软件侦测的
恶意程式加载工具，来启动Cobalt Strike。
在入侵的过程里，骇客尝试执行恶意程式UnmarshalPwn来利用CVE-2018-0824。此外，一
旦后门成功部署，他们就会立刻清除Web Shell，或是用来存取的Guest帐号，研究人员指
出，这些骇客相当谨慎。
接着，这些骇客对于受害组织的网络环境进行侦察，过程中使用53781埠，但为何这么做
，研究人员表示不清楚。
而对于骇客使用的恶意程式，研究人员提及骇客加载ShadowPad的方式出现新手法，那就
是运用13年前的IME档案imecmnt.exe来进行。
再者，前述提到用来启动Cobalt Strike的恶意程式加载工具，则是源自中国开源专案，
而该专案设置的目的本来就是防止Cobalt Strike遭到防毒软件拦截，骇客几乎可说是拿
现成的工具加以利用。研究人员提到，骇客下载、解密、执行Cobalt Strike Beacon的过
程，完全在内存内执行，而不会在磁盘留下痕迹
https://www.ithome.com.tw/news/164297
备注:
简单来说这是利用旧版office漏洞植入的恶意程式。
而且成功执行恶意程式后，会将所有痕迹清除(包含登入log,执行过程产生的档案)
只能说只要网络有对外，没必要守着旧系统继续用
该新就更新，Win10明年也要到期了，还没更新的赶紧吧
TPM2.0也能绕过，旧机还是能升11