使用已經停止服務的應用程式,小心有可能成為供應鏈攻擊的目標!最近有一起鎖定臺灣使用者而來的攻擊行動,駭客就是針對已終止維護的輸入法而來,攻擊採用這款輸入法的用戶。
趨勢科技揭露鎖定臺灣使用者而來的攻擊行動Taoth,駭客透過已經棄用的搜狗注音輸入法(Sogou Zhuyin IME)更新伺服器網域,散布多種惡意軟體家族,例如:Toshis、C6door、Desfy、Gtelam,受害者主要位於東亞地區,範圍涵蓋臺灣、中國、香港、日本、韓國,以及海外的臺灣社群,駭客鎖定高價值目標,攻擊異議人士、但也有記者、研究人員、科技領袖及商業領袖受害。此外,除了透過上述輸入法進行供應鏈攻擊,趨勢科技也看到透過網釣手法接觸目標的情況。
究竟駭客的目的是什麼?趨勢科技指出攻擊者的活動在偵察階段就停止,除此之外幾乎沒有後續的活動,因此他們研判,駭客主要是尋找高價值的目標。但有一起活動例外,駭客疑似透過Visual Studio Code(VSCode)建立隧道。
針對這起事故發現的過程,趨勢科技在今年6月偵測到不尋常的資安事故,受害電腦被植入C6door與Gtelam兩個惡意軟體家族。根據他們的調查,發現惡意軟體散布的管道,竟然是透過合法的輸入法軟體搜狗注音輸入法。由於軟體開發商早在2019年就停止提供更新,攻擊者不僅接管了棄用的更新伺服器,並在2024年10月註冊相關網域,自11月開始提供惡意更新。
究竟駭客如何引導使用者下載、使用這款輸入法?他們在今年3月竄改正體中文維基百科的搜狗注音輸入法頁面,然後加入了已被攻擊者控制的網域dl[.]sogouzhuyin[.]com。使用者若是下載此輸入法進行安裝,在數個小時後就會觸發自動更新機制,公用程式ZhuyinUp.exe就會試圖檢查更新,而從伺服器下載惡意程式。趨勢科技確認至少有4個惡意軟體家族以此散布,包括:Toshis、C6door、Desfy、Gtelam。他們特別提到,使用者下載的安裝程式由搜狗製作,並未遭到修改。
其中,Toshis為惡意軟體Xiangoop的變種,攻擊者主要將它當作惡意軟體的載入工具。Toshis執行的過程,會從C2伺服器搜尋其他有效酬載。附帶一提的是,此作案工具只會在使用正體中文、簡體中文、日文的電腦上運作。
C6door是以Go語言打造的後門程式,同時支援HTTP及WebSocket通訊協定建立連線。根據駭客在此後門嵌入簡體中文字元,代表攻擊者很有可能以這種語言進行溝通。
Desfy、Gtelam皆為間諜軟體,其中,Desfy會收集電腦桌面及Program Files資料夾的檔案名稱,並透過HTTP POST傳出至C2伺服器;Gtelam則是搜括特定類型的文件的檔案名稱,然外傳至Google Drive。
