详细内容或原文请订阅后点击阅览
中国团伙使用 ArcGIS 作为后门一年 - 却没有人注意到
犯罪分子将可信地图软件变成了藏身处 - 不需要传统的恶意软件一个名为 Flax Typhoon 的中国国家支持的网络团伙花了一年多的时间潜入 ArcGIS 服务器,悄悄地将可信地图软件变成了隐蔽的后门。
来源:The Register _恶意软件一个名为 Flax Typhoon 的中国国家支持的网络团伙花了一年多的时间潜入 ArcGIS 服务器,悄悄地将受信任的地图软件变成了一个隐蔽的后门。
ReliaQuest 的研究人员表示,被微软追踪为中国国家支持的间谍组织修改了合法的 ArcGIS 服务器对象扩展 (SOE),使其充当 Web shell,从而为他们提供了长期、近乎隐形的访问权限。通过利用 ArcGIS 的可扩展性功能,同时避免传统的基于签名的恶意软件,Flax Typhoon 将自身嵌入得如此之深,甚至从备份恢复系统也只需重新安装植入程序即可。
ReliaQuestArcGIS 广泛应用于地理空间分析、基础设施规划、环境监测等领域,因此对其造成损害会带来严重风险。至少对于攻击者来说,这种攻击之所以优雅,是因为它使用了软件的合法内部功能来隐藏在众目睽睽之下。 SOE 组件被修改为接受通过 REST API 参数传递的 Base64 编码命令,攻击者使用硬编码的密钥来保护他们的访问,确保只有他们可以与其通信。
Flax Typhoon 利用有效凭据(据称是门户管理员帐户)来部署恶意扩展。这使得他们能够将自己的活动伪装成常规系统操作,从而避开许多防御者的视线。当受害组织尝试通过从备份恢复来恢复时,他们实际上是在重新感染自己,因为恶意 SOE 已融入到这些备份中。
“通过确保受感染的组件包含在系统备份中,他们将组织自己的恢复计划转变为有保证的重新感染方法,”ReliaQuest 说。 “这种策略将安全网变成了一种责任,这意味着事件响应团队现在必须将备份视为潜在的再感染媒介,而不是故障保险。”
FBI 公开曝光了该组织运营的僵尸网络