黑客用一个新的秘密后门攻击台湾金融机构

作为持续至少18个月的“持续行动”的一部分，中国先进持续威胁组织（APT）一直以台湾金融机构为目标。

这些入侵的主要目的是间谍活动，结果部署了一个名为xPackBroadcom旗下的赛门铁克（Symantec）在上周发布的一份报告中表示，允许对手对受损机器进行广泛控制。

这次活动值得注意的是，威胁行为人潜伏在受害者网络上的时间很长，这为运营商提供了充分的机会进行详细侦察，并在不发出任何危险信号的情况下过滤与商业联系和投资有关的潜在敏感信息。

在一个未命名的金融组织中，袭击者在2020年12月至2021年8月之间花费了将近250天的时间，而一个制造实体在他们的监视下拥有大约175天的网络。

虽然用于攻击目标的初始访问向量尚不清楚，但我们怀疑Antlion利用了一个web应用程序漏洞来获得立足点，并删除了xPack定制后门，该后门用于执行系统命令、删除后续恶意软件和工具，并为Exfilter提供数据。

此外，威胁参与者还使用基于C++的自定义加载程序以及合法的现成工具（如AnyDesk和living off the land（LotL））组合来获得远程访问、转储凭据和执行任意命令。

研究人员说：“据信，Antlion至少从2011年起就参与了间谍活动，最近的这项活动表明，在它首次出现10多年后，它仍然是一个值得注意的角色。”。

最近几个月，越来越多与中国有关联的民族国家组织以台湾为目标，这些组织的调查结果又增加了一个新的清单，其中包括被追踪的威胁行为体发起的恶意网络活动，如热带骑兵和地球卢斯卡袭击该国的政府、医疗保健、交通和教育机构。