Liminal Panda 自 2020 年起就開始滲透南亞和非洲的電信網路

自 2020 年起，一個新的中國關聯的網路間諜團體被發現持續瞄準南亞與非洲的電信企業發動一系列針對性網路攻擊，其目的是進行情報蒐集。根據網路安全公司 CrowdStrike 的分析，該團體被命名為 Liminal Panda，其成員對於電信網路的運作模式、底層協定，以及不同電信服務供應商之間的互聯結構擁有深入了解。

Liminal Panda 是 CrowdStrike 所追蹤的 63 個不同的「Panda」之一。「Panda」是該網路安全公司用來指涉及中國內部或與中國有聯繫的網路入侵者的命名方式。自 2020 年起，Liminal Panda 就開始滲透南亞和非洲的電信網路。

CrowdStrike 指出，Liminal Panda 使用一系列專門設計的惡意工具來實現隱匿訪問、指令及控制（C2）和資料外洩。這些工具被用於滲透受害者的電信伺服器，並將攻擊範圍擴大至其他地區的服務供應商。該團體還利用支援行動通訊的協定，例如模擬全球行動通訊系統（GSM）協議進行 C2 操作，並開發工具來檢索行動用戶資訊、通話詮釋資料 (call metadata) 和簡訊（SMS）。

值得注意的是，部分與 Liminal Panda 有關的滲透活動早在 2021 年 10 月就已被記錄，但當時被錯誤地歸咎於另一個威脅團體 LightBasin（又名 UNC1945）。LightBasin 自 2016 年起便以攻擊電信企業而惡名昭彰，這次錯誤主要是因為有多個駭客團體都在同一受感染網路中進行惡意活動所導致。經過深入分析，CrowdStrike 確認這是一個全新的威脅團體，並揭露其專屬的工具組和攻擊模式。

Liminal Panda 的工具組包括數款專門針對電信協定設計的惡意軟體。例如，SIGTRANslator 是一個 Linux ELF 二進位檔案，能透過 SIGTRAN 協定進行資料傳輸；CordScan 是一款具備封包攔截與網路掃描功能的工具，專門用於辨識和檢索與電信協定相關的資料；PingPong 則是一個後門程式，能監聽特殊的 ICMP 回應請求，並建立反向的 TCP 殼層連結。這些工具展現了該團體對電信網路基礎設施的深厚理解。

該團體還採用開源後門工具 TinyShell 和公開的 SGSN 模擬器（稱為 sgsnemu）來進行指令與控制 (C2) 通訊。攻擊者常利用密碼噴灑攻擊法 (password spraying) 滲透外部 DNS（eDNS）伺服器，特別針對使用極弱密碼或與第三方相關的密碼進行攻擊。攻擊的最終目標是蒐集網路遙測資料與用戶資訊，或是利用電信業者之間的互聯需求，進一步滲透其他電信服務提供者。

Liminal Panda 的活動利用電信業者之間的信任關係，以及許多網路安全政策的漏洞。藉此由外部主機進而取得核心基礎設備的存取權限，進一步滲透受害者的網路。

CrowdStrike已追蹤中國關聯的網路威脅超過 20 年，據內部人員表示，這些攻擊行動已經從早期的「搶劫式突襲」進化為針對高價值目標個體和資訊的精準活動。這通常意味著鎖定能提供政治和軍事機密的來源，或者可能增進中國國家利益的智慧財產。

與此同時，法國網路安全公司 Sekoia 強調，中國的網路攻擊生態系統是一個由多方組成的合作體系，包括國家支持單位（如國家安全部 MSS 和公安部 MPS）、民間駭客以及民營機構。這些單位組織共同參與漏洞研究與攻擊工具開發，形成了一個緊密的合作網路。Sekoia 進一步指出，這種生態系統不僅涵蓋了攻擊的操作執行，還涉及販賣被盜資訊、提供攻擊服務與工具等多種業務，展現了國家與民間之間複雜而互補的協同關係。

這些針對電信業的攻擊行動，包括 Liminal Panda 以及其他如 Salt Typhoon 的中國相關威脅團體，突顯了電信業及其他關鍵基礎設施面臨的國家支持攻擊威脅。在這樣的背景下，強化通訊協定安全與防護電信供應商間信任模式下的漏洞成為各大電信業者的當務之急。

Liminal Panda 駭客組織相關的部分的入侵指標（IOCs）:

3a5a7ced739923f929234beefcef82b5

9728cd06b3e5729aff1a146075d524c34c5d51df

05537c1c4e29db76a24320fb7cb80b189860389cdb16a9dbeb0c8d30d9b37006

16294086be1cc853f75e864a405f31e2da621cb9d6a59f2a71a2fca4e268b6c2

4480b58979cc913c27673b2f681335deb1627e9ba95073a941f4cd6d6bcd6181

6d3759b3621f3e4791ebcd28e6ea60ce7e64468df24cf6fddf8efb544ab5aec0

78c579319734a81c0e6d08f1b9ac59366229f1256a0b0d5661763f6931c3b63c

917495c2fd919d4d4baa2f8a3791bcfd58d605ee457a81feb52bc65eb706fd62

97d4c9b5750d614face73d11ba8532e53594332af53f4c07c1543195225b76eb

9973edfef797db84cd17300b53a7a35d1207d166af9752b3f35c72b4df9a98bc

Fortinet VPN 客戶端的零日漏洞被利用來提取憑證及 VPN 伺服器資訊

中國政府有關聯的駭客組織正在利用 Fortinet 的 Windows VPN 客戶端中的零日漏洞來竊取憑證和其他資訊。這個零日漏洞使得網路威脅者在可以在用戶透過 VPN 裝置進行身份驗證後，從記憶體中竊取憑證資訊。

Volexity 威脅情報團隊指出，他們於今年夏天稍早發現了此漏洞並向 Fortinet 報告，目前該問題尚未被修復，亦未被給予 CVE 編號。

報告解釋道，「Volexity 在 2024 年 7 月 18 日將此漏洞向 Fortinet 報告，Fortinet 在 2024 年 7 月 24 日確認了這個問題，截至目前為止該問題尚未解決。」

此攻擊是由北京支持的駭客團體「BrazenBamboo」發起，他們素以開發和部署針對 Windows、macOS、iOS 和 Android 系統的高階惡意程式而著名，主要用於監視行動。

Volexity 解釋，網路威脅者在其攻擊中使用了多種惡意程式，包括 LightSpy 和 DeepPost。

• LightSpy 惡意程式主要在記憶體中執行。它包含外掛程式來記錄按鍵、音訊和影像；收集 Cookies、存儲的憑證，以及已安裝軟體和服務的詳細資訊。
• DeepPost 惡意程式則用於從受感染系統中竊取檔案。

Volexity 的報告重點介紹了 DeepData，一款用於 Windows 的模組化後滲透工具，具備多個外掛程式，專門用於竊取目標資料。

最新版本的DeepData於去年夏天被發現，內含一個專為 FortiClient 設計的外掛程式，利用產品中的零日漏洞來提取憑證（帳號、密碼）及 VPN 伺服器資訊。

DeepData 定位並解密 FortiClient 處理程序記憶體中的 JSON 物件，由於憑證會存留於記憶體中，便可透過 DeepPost 將資料外傳至攻擊者的伺服器。

透過入侵 VPN 帳戶，BrazenBamboo 能夠獲取企業網路的初始存取權，然後進行橫向移動、駭入敏感系統，並擴張其間諜活動。

Volexity 發現 DeepData 在 2024 年 7 月中旬利用了 FortiClient 零日漏洞，並指出它與 2016 年的一個漏洞相似（該漏洞亦未有 CVE 編號），該漏洞係因硬編碼 (hardcoded) 記憶體致使憑證暴露而遭利用。然而，2024 年的漏洞則是全新且不同以往的，僅出現於包括最新版本 v7.4.0 在內的近期釋出版本。

Volexity 解釋，問題出在 FortiClient 未能從記憶體中清除敏感資訊，包括帳號、密碼、VPN gateway (閘道器)，這些資訊仍以 JSON 物件形式存於記憶體中。

在 Fortinet 確認漏洞並釋出修復更新之前，建議限制 VPN 存取權並監控不尋常的登入活動。與最新 BrazenBamboo 活動相關的入侵指標（IoC）可在此處查閱。

Fortinet VPN 零日漏洞相關的部分的入侵指標（IOCs）:

707d410a72a630d61168593f17116119

7efb1bc15ee6e3043f8eaefcf3f10864

a2fee8cfdabe4fdeeeb8faa921a3d158

cad4de220316eebc9980fab812b9ed43

ef92e192d09269628e65145070a01f97

f162b87ad9466381711ebb4fe3337815

fb99f5da9c0c46c27e17dc2dc1e162d7

0563225dcc2767357748d9f1f6ac2db9825d3cf9

174519da762cf673051ed1c02a6edb9520886fec

30e33f1188ca4cffc997260c9929738594e7488c

MOVEit Transfer 資料洩露事件中，亞馬遜受到的影響最大

去年發生的 MOVEit Transfer 資料洩露事件，是近年來規模最大的事件之一，如今對各大企業仍存在深遠影響。最近一位自稱「資料激進駭客分子」的駭客將數百萬筆用戶資料公佈於資料洩露論壇。

亞馬遜是這次洩露中影響最大的公司，約有近 300 萬筆紀錄被洩露。亞馬遜證實，這次資料外洩中暴露了員工的電話號碼、電子郵件地址和辦公地點等資訊。然而，亞馬遜和 AWS 系統並未遭遇到資安事件的影響。

據網路安全公司 Hudson Rock 稱，其他受影響的公司還包括銀行巨頭匯豐（HSBC）、瑞銀集團（UBS）、City National Bank，還有科技大廠 HP 和聯想（Lenovo）。甚至連速食連鎖店麥當勞（McDonald’s）也在名單上。

攻擊者可能利用洩露的資訊來進行社交工程、網路釣魚攻擊和憑證填充攻擊(credential-stuffing attack)，從而導致這些公司內部出現進一步的資料外洩事件。

有趣的是，發布這個龐大資料集的攻擊者自稱為「資料安全佈道者」，並且在知名資料洩露論壇上宣稱此舉是為了提高安全意識。

據 Hudson Rock 稱，數十家公司受影響，洩露了數百萬筆紀錄。但並非所有企業組織受影響的程度皆相同，有些公司僅有數千筆紀錄被洩露，而其他公司則從 50 萬筆到 280 萬筆不等。受影響的主要公司名單包括有 Amazon，MetLife，HSBC，U.S. Bank，HP，Delta Airlines 等。

根據 Hudson Rock 的資料，上週洩露的資訊包括 25 家「主要企業組織」的員工目錄。Hudson Rock 指出，「這些目錄包含詳細的員工資訊，包括姓名、電子郵件地址、電話號碼、成本中心代碼，甚至某些還包含完整的組織架構資訊。」「這樣的資料對於尋求進行網路釣魚、身份盜竊甚至大規模社交工程攻擊的網路犯罪分子來說，無疑是個金庫。」

去年，已解散的勒索軟體組織 Clop 利用 MOVEit Transfer（一種管理檔案傳輸的軟體）中的零日漏洞進行了攻擊。該漏洞現已修補，但之前攻擊者能夠進入 MOVEit Transfer 的伺服器，存取並下載公司客戶儲存於其中的資料。

據估計，Clop 在 MOVEit 攻擊行動中透過勒索贖金就賺取了 7500 萬到 1 億美元的收益。

Clop的一系列攻擊影響了多家公司，包括殼牌、荷蘭國際集團（ING Bank）、德意志銀行、Postbank、美國航空、Radisson Americas 等。根據網路安全公司 Emisoft 的資料，有超過 2700 家企業組織受到影響，而且多達 9500 萬用戶的資料遭暴露。

MOVEit Transfer攻擊相關的部分的入侵指標（IOCs）:

c82059564d6e7a6f56d3b1597cdfe98dfc4e30a2050024bd744f12a3ef237bb5

d477ec94e522b8d741f46b2c00291da05c72d21c359244ccb1c211c12b635899

f994063b9fea6e4b401ee542f6b6d8d6d3b9e5082b5313adbd02c55dc6b4feb7

2931994f3bde59c3d9da53e0062e4d993dc6fc655a1bd325e90af6dc494ed1fa

3ff0719da7991a38f508e72e32412a1ee498241bf84f65e973d6e93dc8fd1f66

bdd4fa8e97e5e6eaaac8d6178f1cf4c324b9c59fc276fd6b368e811b327ccf8b

6015fed13c5510bbb89b0a5302c8b95a5b811982ff6de9930725c4630ec4011d

c56bcb513248885673645ff1df44d3661a75cfacdce485535da898aa9ba320d4

3a977446ed70b02864ef8cfa3135d8b134c93ef868a4cc0aa5d3c2a74545725b

de4ad0052c273649e0aca573e30c55576f5c1de7d144d1d27b5d4808b99619cd

MirrorFace是隸屬於APT10的一個分支組織，又名Earth Kasha

根據網路安全公司ESET最新發布的報告，中國政府支持的駭客組織正在利用合法的VPN工具來隱藏他們在受害者網路中的活動。

ESET於週四 (11/7) 發布的報告中詳述了這些國家支持的資安威脅的最新狀況，並指出隨著受害目標清單的不斷增加，專家們認為這個計劃的用意，是進一步實現北京方面蒐集情報的目的。

該中國相關組織被稱為「MirrorFace」，通常是針對日本地區，但最近被觀察到針對歐盟的一個外交機構進行攻擊，這是該駭客組織首次針對歐洲地區的目標。

ESET在2024年4月至9月期間的APT活動報告中表示，「在此次攻擊中，網路威脅者以即將於2025年在日本大阪舉辦的世界博覽會為誘餌進行攻擊。」「這顯示即使擴展到新的地理區域，MirrorFace仍專注於日本及其相關的活動。」

MirrorFace，又稱為 Earth Kasha，被認為是隸屬於APT10的一個分支組織，其他分支組織還包括像Earth Tengshe和Bronze Starlight等。自2019年以來，MirrorFace主要是針對日本的機構，但在2023年初有觀察到新的攻擊活動延伸至台灣和印度地區。

多年以來，這個駭客組織的惡意軟體工具不斷地演進，包括後門程式如ANEL（又稱UPPERCUT）、LODEINFO和NOOPDOOR（又稱HiddenFace），以及一款名為MirrorStealer的憑證竊取工具。

ESET表示，MirrorFace的攻擊具有高度針對性，每年通常只有少於10次的攻擊事件。這些入侵的最終目標是進行網路間諜活動和資料竊取。而且，這並非首次有外交機構遭該駭客組織鎖定。

在ESET偵測到的最新攻擊中，受害者收到了一封魚叉式網路釣魚電子郵件，內含一個指向名為「The EXPO Exhibition in Japan in 2025.zip」ZIP壓縮檔案的連結，該壓縮檔案是適用於Microsoft OneDrive應用程式。

該壓縮檔案包含一個Windows捷徑檔案「The EXPO Exhibition in Japan in 2025.docx.lnk」，當啟動時會觸發一系列的感染，其最終目的是部署ANEL和NOOPDOOR等惡意軟體。

「ANEL在2018年底或2019年初左右就消聲匿跡，當時一般認為它已被LODEINFO取代，當時LODEINFO是在2019年後出現。」ESET表示，「因此，看到ANEL在將近五年後重新浮出檯面是值得深思細究。」

中國支持的駭客組織，例如Flax Typhoon、Granite Typhoon和Webworm等，日益依賴開源和多平台的SoftEther VPN軟體，以維持對目標網路的存取權，這樣的發展走向，也在近期的事件中得到印證。

此事件的消息緊隨著彭博社的另一篇報導之後，據報導中國關聯的 Volt Typhoon 曾入侵新加坡電信公司（Singtel）當作「測試回合」，這是針對電信公司和其他關鍵基礎設施的更大規模行動的一部分。消息人士指出，這起網路入侵事件於2024年6月被發現。

此外，美國的電信業者和網路服務供應商如AT&T、Verizon和Lumen Technologies也成為另一個中國國家級駭客組織「Salt Typhoon」（又稱FamousSparrow和GhostEmperor）的攻擊目標。

MirrorFace駭客組織相關的部分的入侵指標（IOCs）:

0d59734bdb0e6f4fe6a44312a2d55145e98b00f75a148394b2e4b86436c32f4c

43349c97b59d8ba8e1147f911797220b1b7b87609fe4aaa7f1dbacc2c27b361d

4f932d6e21fdd0072aba61203c7319693e490adbd9e93a49b0fe870d4d0aed71

572f6b98cc133b2d0c8a4fd8ff9d14ae36cdaa119086a5d56079354e49d2a7ce

5e7cd0461817b390cf05a7c874e017e9f44eef41e053da99b479a4dfa3a04512

7a7e7e0d817042e54129697947dfb423b607692f4457163b5c62ffea69a8108d

93af6afb47f4c42bc0da3eedc6ecb9054134f4a47ef0add0d285404984011072

9590646b32fec3aafd6c648f69ca9857fb4be2adfabf3bcaf321c8cd25ba7b83

b07c7dfb3617cd40edc1ab309a68489a3aa4aa1e8fd486d047c155c952dc509e

bcd34d436cbac235b56ee5b7273baed62bf385ee13721c7fdcfc00af9ed63997

Infostealer Phishing 攻擊正瞄準台灣企業的粉絲專頁管理員及廣告管理員

一個尚未辨識的網路威脅者正在針對台灣企業粉絲專頁或是廣告管理員用戶進行網路釣魚攻擊，其目的是散布像是 Lumma 或 Rhadamanthys 這樣的資訊竊取惡意軟體。

這些誘餌訊息內含一個連結，當受害者點擊後，便會被引導至Dropbox或Google Appspot網域，進而觸發下載動作，下載的是包裹著假PDF執行檔的RAR壓縮檔，藉而由此傳送資訊竊取惡意軟體。

誘餌電子郵件和偽造的PDF檔名假冒公司法律部門的樣子，試圖引誘受害者下載並執行惡意軟體。

此外，這些不法行為者還以台灣一家知名工業馬達製造商和另一家知名網路商店的名義發送網路釣魚郵件，聲稱受害者的業務上有侵犯版權的行事。

根據威脅情資團隊 Cisco Talos 研究人員表示：「這些郵件要求受害者在24小時內移除侵權內容，停止未經授權的使用，並警告倘若不遵循，將會面臨可能的法律行動和賠償索求。」

他們還指出，這些網路威脅者還使用了多種的技術和工具，以規避防毒軟體偵測和沙箱分析，例如Shellcode加密、程式碼混淆，並將LummaC2和Rhadamanthys等資訊竊取惡意軟體嵌入合法的系統程式之中。

Lumma Stealer 是一種專門從被入侵系統中竊取資訊的惡意軟體，其目標包括系統詳細資訊、網頁瀏覽器及瀏覽器擴充功能等資料。

Rhadamanthys 是一種在地下論壇出售的高階資訊竊取工具，首次浮出檯面是在兩年前，這支惡意軟體專門用來蒐集系統資訊、帳戶憑證、加密貨幣錢包、密碼、Cookies以及其他應用程式中的資料。

這次的網路釣魚行動至少自7月以來持續進行中，最初的攻擊手法是透過網路釣魚郵件附帶的惡意軟體下載連結。這些郵件中使用繁體中文的誘騙內容，由此可推斷其目標對象為使用中文的用戶。

另外，也有觀察到一些網路釣魚活動是假冒OpenAI來進行，其目標指向全球的企業，指示他們點擊令人混淆的超連結以更新付款資訊。

「這次攻擊事件是由單一網域向超過1000位收件者發送的」，根據Barracuda的報告指出：「郵件內容使用了不同的超連結，可能是為了規避偵測。這些郵件通過了DKIM和SPF驗證，表示郵件是從該網域授權的郵件伺服器發出的。然而，該網域本身卻是非常可疑。」

LummaC2 和 Rhadamanthys相關的部分的入侵指標（IOCs）:

03ed5c2b3a8b34f8c7ef110f78926c42

ff1156ab3a8226f8ac89bae78c990ebb85f3138b

1b80e9c51d418ce5ac3a6741e70a6a0235b43bb7548299278865f604d41d7675

1ccf7f8b3a9b20bb87bc18a3fcfb41948f65dfb43b2fad1440a0eaef2656f414

213c8a51972fdd17d3f8c20a94e76123004d4e8f21a4a06d50f87d2c65379ac0

2175a1f8f798b0daf05965eb860166c65a8d227d1309cd3545dba3174fd2292f

33aaf3109c1c8a477cbcdd942a9b60acc236fe56ddd8d0262d7ad63d9434e12f

51c1e25a546dbf2d9a17ccd1f0e95cff68ead96d4dc77c995fe3d9cb67d4ee17

76c711c56c95009506347691c44ba9cc61ce0056e47784799f6429642c224d3a

80231f19168b5f326bd1fbcd7a093aeb0415c84e5036c7991b3eaef2f9be77a2

駭客組織 Evasive Panda 的活動主要針對台灣、香港等地的各類目標

台灣的一個政府機構和宗教組織早前曾遭到與中國有關聯的 APT (進階持續性威脅) 組織「Evasive Panda」攻擊，該組織使用一套代號為「CloudScout」的全新入侵後 (post-compromise) 工具組進行滲透。

電腦安全軟體公司 ESET 安全研究員 Anh Ho表示，CloudScout 工具組能夠利用竊取的網路工作階段 (web session) cookie 來從不同的雲端服務獲取資料。透過外掛程式，CloudScout 更能與 Evasive Panda 的代表性惡意軟體框架「MgBot」，進行天衣無縫的搭配運作。

根據 ESET 的發現，這個基於 .NET 的惡意軟體工具是在 2022 年 5 月至 2023 年 2 月期間被偵測到，其中包含 10 個不同的模組，主要以 C# 程式編寫，其中三個模組專門用於從 Google Drive、Gmail 和 Outlook 之中竊取資料。

「Evasive Panda」，又稱「Bronze Highland」、「Daggerfly」和「StormBamboo」，是一個專門進行網路間諜活動的組織，自2012年以來陸續被發現其活動，主要針對台灣、香港等地的各類目標，並且以對西藏流亡組織發動「水坑攻擊」（watering-hole attack）和供應鏈攻擊而聲名大噪。

ESET解釋道：「Evasive Panda一路以來積累了多樣化的攻擊手法。我們觀察到該組織運用了像是供應鏈攻擊、水坑攻擊以及DNS劫持 (DNS hijacking) 等複雜技術，同時也利用了針對Microsoft Office、Confluence及網路伺服器應用程式的最新CVE漏洞。」

「該組織也展現了極強大的惡意軟體開發能力，這方面特別體現於他們一系列適用於Windows、macOS及Android平台上的後門程式（backdoors）。」

CloudScout之中已辨識的三個模組——CGD、CGM及COL——各有不同的用途：CGD針對Google Drive，CGM針對Gmail，而COL則是以Outlook 為目標。每個模組皆是利用盜取的Cookie繞過雙重身份驗證，以便能直接存取雲端儲存的資料。

CloudScout的主要功能包括：

• 無縫整合 Evasive Panda 的主要惡意軟體框架 MgBot。
• 透過模仿已驗證的 user session (伺服器上儲存的使用者操作的資訊) 來存取目標雲端服務。
• 無需使用者憑證，就能自動地從 Google Drive、Gmail 及 Outlook 中提取資料。

CloudScout的內部框架經過精密設計，能夠執行複雜的任務，包括調整組態 (configuring)、管理以及解密各模組所需的Cookie，以建立網路請求。

CloudScout的CommonUtilities套裝軟體也讓其運作更加地順利，這個套裝軟體負責管理HTTP請求以及Cookie語法解析，使這個工具能適應各個標的服務的不同結構。此惡意軟體能夠自動地監控目錄中是否有新的組態設定檔，並觸發資料提取循環，並在每個循環後即刪除掉之前的活動痕跡。

研究人員也觀察到，CloudScout採用了專門針對台灣用戶的特定手法，這可從其模組內嵌的語言偏好及區域特定設置中看出端倪。

分析還指出，CloudScout可能還具備額外的模組，目標鎖定Facebook以及Twitter等社群媒體，雖然現階段這些模組並未在活動部署中被發現。

Evasive Panda駭客組織相關的部分的入侵指標（IOCs）:

be17d056039267973e36043c678a5d56

c02b6a7cc4f4da2d6956049b90ff53ba

4a5bcdaac0bc315edd00bb1fccd1322737bcbeeb

621e2b50a979d77ba3f271fab94326cccbc009b4

67028aeb095189fdf18b2d7b775b62366ef224a9

84f6b9f13cdcd8d9d15d5820536bc878cd89b3c8

93c1c8ad2af64d0e4c132f067d369ecbebae00b7

b3556d1052bf5432d39a6068ccf00d8c318af146

c058f9fe91293040c8b0908d3dafc80f89d2e38b

73d50eabd0b377e22210490a06ecf2441191558d97ce14ba79517c0e7696318b

親俄駭客組織 NoName057(16) 以發動分散式阻斷服務（DDoS）攻擊而聞名

繼上個月親俄羅斯駭客對台灣證交所及金控公司發動一系列攻擊之後，沒有平靜多少時日，東亞地區的網路環境又起漣漪。

上週以來，兩個親俄羅斯的駭客組織—「NoName057(16)」和「Russian Cyber Army Team」，對日本的物流、造船公司，以及政府和政治機構，發動了分散式阻斷服務（DDoS）攻擊。專家認為，這些攻擊的目的是施壓日本政府。這些攻擊發生的近因是日本國會增加國防預算，以及日本軍隊與區域盟國進行聯合軍事演習。

這兩個親俄羅斯的駭客組織自10月14日起，開始對日本的目標發動攻擊。根據網路監控公司 Netscout 的報告，超過一半的攻擊目標是物流、造船和製造業廠商。這些駭客組織，尤其是 NoName057(16)，自俄羅斯入侵烏克蘭後，已經因為屢次攻擊烏克蘭以及其他歐洲的目標而聲名大噪。

而日本執政的自民黨的網站在上週二 (10/15) 遭受到 DDoS 攻擊，此次攻擊發生的時間恰逢為期 12 天的眾議院選舉競選期開始。眾議院在日本的議會制度中扮演著關鍵角色。

根據地方媒體的報導，包括地方政府網站在內的其他政府機構，也在同一天遭遇了DDoS攻擊，有些甚至造成系統斷線。

在這波最新的攻擊中，這些駭客組織將日本的工業和政府機構列為目標。Netscout 的威脅情報總監 Richard Hummel 談到，這些攻擊發生在俄羅斯外交部表達對日本軍事擴張態勢感到擔憂之後。

Hummel 說到：「日本上週剛進行完選舉，而新上任的領導人對俄羅斯持反對立場，並且明確表達支持烏克蘭，以及提供援助。日本也正在與美國軍隊進行聯合演習和導彈試射，這些都是會引起 NoName057 採取相應行動的區域性事件。」

隨著與中國和俄羅斯的地緣政治競爭加劇，日本正處於自二戰以來最大規模的軍事擴張中。2022年12月，日本公布了一個為期五年、總值3200億美元的軍事計畫，計畫中包含可直接攻擊中國、北韓和俄羅斯目標的遠程巡弋飛彈。這意味著日本已大幅移轉原先自我防衛之軍事政策，並且今年的國防支出增加了16%。

10月17日，日本副內閣官房長官青木一彥表示，政府正在著手調查這些 DDoS 攻擊事件。

根據 Netscout 的分析，超過一半的攻擊是針對物流業和製造業，同時有將近三分之一則是鎖定日本的政府機構和政治組織。

該分析指出，這些俄羅斯駭客組織利用 DDoSia 殭屍網絡全部的攻擊能力，針對多個目標使用多種的攻擊向量進行攻擊。截止目前為止，已有約40個日本網域被鎖定，每個網域平均遭受到三波攻擊侵襲，而每次攻擊使用到四種不同的 DDoS 攻擊向量。

駭客活動與 DDoS 攻擊的復甦標示著最近攻擊形態上的轉變。過去，85%至90%的 DDoS 攻擊發生在遊戲領域，玩家會對其他玩家發動攻擊。然而，近幾年來，DDoS 攻擊被愈加地被用來支持某些政治目的或是獲取金錢利益，有時甚至同時兼具。

雖然 NoName057(16) 和 Russian Cyber Army Team 的行動目標明顯符合俄羅斯政府的優先考量，但這並不一定意味著他們直接受到俄羅斯軍事或情報機構的指揮。然而，這些攻擊多半針對那些對俄羅斯不友好的國家或組織，這倒是與這些駭客組織一貫的行動模式相符。

NoName057(16) 駭客組織相關的部分的入侵指標（IOCs）:

09537f309659b85ad0b381b91411d073

0e1841b248ac882653a609b9f4299145

1cd8d1073dc4e1f5c7265e6658f32544

21efcdc2b49555540a61031d2d1a039b

275e1780aa1c02ca25e207be8af7e947

2e0cac71005bfb4ff3c984a1a1c24ab4

2f0cf3f278f4cbd7c871c0024bc2dd84

3bbe3f11899ed4b828f2c83644d7c04d

3e9f1400381037283004a1e982e23b1e

5850a3e79b615587a5efcba2a07cf0d8