以行業別來看,遭到 Sogu 攻擊的行業以製藥業和 IT 業最多,均達 11.8%,其次為能源產業(9.4%)、通訊業(9.4%)、醫療業(8.2%)、物流業(7.1%)、非營利組織(5.9%)、零售業(4.7%)、媒體業(4.7%)等。
據 Mandiant 分析,Sogu 使用 DLL order 綁架技術,將一個稱為 Korplug 的惡意軟體酬載載入到 Windows 電腦的記憶體中,然後在登錄檔中新增 Run 機碼,以常駐在電腦中並自動執行,並掃瞄電腦中的 MS Office、PDF 檔案與文字檔,試圖竊取其中的有價值資訊,並上傳到控制伺服器中。
而 Sonwydrive 則會在受害電腦中安裝一個後門,讓駭侵者可以透過 Windows 命令列來載入更多惡意軟體酬載、修改 Windows Registry,竊取檔案內容等。
雖然 USB 隨身碟攻擊的手法已十分老舊,但由於人員資安警覺低,仍有相當的成功率;建議各單位應針對電腦 USB 埠的存取權限提高防範能力,並且加強資安教育訓練,並避免使用任何形式的外部實體儲存裝置。