根據 Google Security Operations 的調查,駭客的初步入侵途徑是鎖定 Research Electronic Data Capture(REDCap)伺服器上的舊版軟體漏洞。REDCap 是一個廣泛用於醫療研究的網路平台。駭客成功入侵後,部署了一款名為 INFINITERED 的客製化惡意軟體。這款惡意軟體能夠攔截軟體升級程序以植入惡意程式碼、收集使用者登入憑證(包括帳號密碼),並建立後門以持續操控。
駭客在獲得網域管理員權限後,採取了新穎的資料竊取手法。他們濫用了 Google Workspace 的「內容合規規則」(content compliance rules)這項合法管理功能,設定自動轉寄含有近 150 個特定關鍵字或電子郵件地址的敏感郵件,並將其祕密副本(BCC)發送到駭客控制的信箱。這種方式在不產生異常網路流量的情況下,成功避開了偵測。
Google Security Operations 副首席分析師盧克·麥克納馬拉(Luke McNamara)表示,UNC6508 的攻擊手法與中國長期以來為蒐集情報的駭客行動高度吻合。Google 已通知受影響的機構,並已協助中斷了該組織的基礎設施。為防範類似攻擊,資安專家建議各機構應立即修補 REDCap 伺服器漏洞、移除舊版軟體以防止降級攻擊,同時強化網域管理員帳號的防網路釣魚多因素驗證,並仔細審查 Google Workspace 或其他郵件系統的內容合規及郵件轉寄規則。
