最近資安業者趨勢科技揭露一起攻擊行動,攻擊者為中國駭客組織APT41旗下的Earth Longzhi,他們主要針對亞洲地區的國家和企業進行攻擊,對象國家包括臺灣、泰國、菲律賽和斐濟等。該組織會濫用Microsoft Defender的可執行檔進行DLL側載,並使用自帶驅動程式攻擊(BYOVD),利用驅動程式zamguard64.sys的弱點來停用防毒軟體以進行攻擊。
值得注意的是,該組織還使用了Stack Rumbling的攻擊手法,該手法注入到Image File Execution Options(IFEO)機制中,旨在引發防毒軟體的記憶體溢位,導致其運作受阻(DoS)。
這種攻擊手法對企業和組織的資安防護形勢造成了嚴峻挑戰,特別是對於那些經常使用Microsoft Defender這樣的防毒軟體的企業而言。針對這種攻擊,資安專家建議企業應該採取多層次的資安防護措施,包括及時更新軟體漏洞、加強網路安全監控、實施加密措施等,以減少受到攻擊的風險。
APT41組織的攻擊對亞洲地區的國家和企業造成了威脅,而針對防毒軟體的攻擊手法Stack Rumbling更是讓企業和組織的資安防護形勢更加嚴峻。加強自身的資安防護措施,包括定期更新防毒軟體和驅動程式、加密敏感資訊、限制網路訪問和實施多重身份驗證等,是企業和組織應對這類攻擊的必要手段。同時,進一步加強國際間的資安合作和情報共享,也是應對APT41等駭客組織的重要方式。只有通力合作,才能更有效地保障互聯網世界的安全與穩定。