您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。 跳到主要內容
News Detail Banner
:::
> 首頁 > 資安新聞

資安新聞

ShellClient木馬鎖定全球航太產業與電信公司發動攻擊

資安業者Cybereason揭露GhostShell攻擊行動(Operation GhostShell),駭客運用新木馬程式ShellClient,攻擊全球航太產業與電信公司。

 

Cybereason指出,攻擊者目的為竊取各組織之關鍵資產與所持有之技術等機敏資料,攻擊範圍主要為中東地區,惟美國、俄羅斯及歐洲亦有部分受駭。根據Cybereason所掌握之情報,認為攻擊者係2018年起開始運作之伊朗駭客組織MalKamak,該駭客組織與Chafer(APT39)或Agrius等伊朗政府資助之駭客組織有所聯繫,惟其攻擊特徵與其他伊朗駭客組織不同,因此推測為新駭客組織。

 

Cybereason於今年7月網路攻擊案件發現新木馬程式ShellClient後便開始啟動調查程序,該木馬程式歷經3年之發展,已新增更為隱密之C2通訊機制,如雲端服務通訊。最早期之木馬程式版本編譯於2018年11月,為反向Shell(Reverse Shell),至於2021年所發現之第4版本,已納入許多新技術以規避資安系統檢測,如捨棄舊有C2網域,改為使用Dropbox雲端服務進行命令與控制,所有傳送至Dropbox之數據資料皆使用AES加密機制進行加密,藉此混淆傳輸流量,且由於存取Dropbox之流量通常被視為合法流量,使得攻擊行動難以被資安防護機制察覺。

Reference

資料來源:

https://www.cybereason.com/blog/operation-ghostshell-novel-rat-targets-global-aerospace-and-telecoms-firms

https://informationsecuritybuzz.com/expert-comments/iranian-hackers-abuse-dropbox-in-cyberattacks-against-aerospace-and-telecom-firms/

https://www.bleepingcomputer.com/news/security/hackers-use-stealthy-shellclient-malware-on-aerospace-telco-firms/

技術服務中心整理

Publish Date
2021/10/14 上午 12:00:00