與中國有關聯的駭客組織Storm-1376利用人工智慧（AI）生成的內容和虛假的社交媒體帳號，來煽動美國、台灣和其他地方的分裂，旨在加劇社會的混亂。

根據微軟威脅分析中心（MTAC）在4 月 6 日發布名為 Same targets, new playboks: East Aisa threat actors employ unique methods的報告，在過去七個月裡，中國的認知作戰的活動加強利用人工智慧在(AI)全球散佈虛假資訊並煽動不和，報告稱，微軟觀察到了國家支持的駭客組織的顯著趨勢，這表明駭客不僅在熟悉的目標上加倍努力，而且還試圖使用更複雜的影響技術來實現他們的目標，特別是激增的生成式AI內容也被用來增強與中國有關的線上認知作戰(Influence Operations) 的活動。

微軟指出，它發現1月台灣總統選舉期間更複雜細緻的AI內容遽增，包括出現一個AI創造的假音檔片段，音檔中假造的郭台銘聲音表示，他支持另一位總統後選人。這是微軟威脅情報首次詳細介紹國家級駭客組織利用人工智慧產生的內容來試圖影響國外選舉的情況。微軟進一步說，我們稱之為 Storm-1376 的駭客組織，也稱為 Spamouflage 和 Dragonbridge，在台灣選舉日，它發布了由人工智慧生成的前候選人郭台銘（他於 2023 年 11 月退出競選）在總統競選中支持另一位候選人的虛假音訊。實際上，郭台銘並沒有發表過這樣的言論。

報告指出，Storm-1376 推廣了一系列人工智慧生成的梗圖(Memes)，內容涉及台灣當時的民進黨（DPP）總統候選人賴清德、其他台灣官員以及世界各地的中國異議人士。其中包括至少從 2023 年 2 月起，Storm-1376 就開始越來越多地使用人工智慧生成的電視新聞主播。微軟觀察到在台灣的選舉中國宣傳團體製作人工智慧生成的新聞廣播，並配有假主播，以影響選舉。其中一些剪輯是使用 CapCut 產生的，CapCut 是位元組跳動(Tik Tok母公司)旗下的人工智慧編輯工具。

值得注意的是，與中國政府相關的帳號也發布了人工智慧生成的媒體片段，旨在煽動美國的混亂。報告指出，人工智慧生成的一張圖片將 2023 年夏威夷火災歸咎於美國製造的氣象武器，Storm-1376 使用人工智慧生成的燃燒的沿海道路和住宅圖像使內容更加引人注目，並以至少 31 種語言發布文字。在另一個案例中，該組織針對感恩節假期期間發生的肯塔基州火車脫軌事件發起了一場社群媒體活動。這些貼文散佈了這樣的說法：美國政府可能造成了這次脫軌，並且故意隱瞞了一些事情。此外，許多中國社群媒體訊息都要求追隨者評論他們支持哪位美國總統候選人。微軟表示，這些帳號的運作可能是為了增加圍繞美國關鍵投票人口統計的情報收集。

微軟預計中國網路和認知作戰的參與者將努力瞄準今年稍後舉行的一系列關鍵選舉，包括印度、韓國和美國，利用人工智慧協助他們的活動。研究人員警告說，雖然直接影響可能很小，但隨著時間的推移，中國的能力可能會變得更加複雜。除了影響選舉之外，微軟的報告還強調了北京如何擴大與情報收集相關的駭客行動。這些行動旨在更好地了解友好國家和敵對國家的政治進程並竊取敏感技術。

美國網路安全機構建議關鍵基礎設施領導者採取多種最佳實踐和防禦措施，以防範中國政府發動的攻擊

美國網路安全與基礎設施安全局(CISA) 昨天向關鍵基礎設施組織的領導人發出嚴厲警告，警告中華人民共和國(PRC) 國家支持的被稱為「伏特颱風」的駭客組織所構成的迫在眉睫的威脅。

CISA 與國家安全局 (NSA)、聯邦調查局 (FBI) 以及其他美國政府和國際合作夥伴合作，於 2024 年 2 月 7 日發布了一份重要公告。 該通報證實，Volt Typhoon 5年來一直進入某些美國關鍵基礎設施組織，攻擊者在某些受害 IT 環境中保持存取和立足點至少五年。CISA 表示，Volt Typhoon 一直在積極滲透美國關鍵基礎設施組織的網路。這種滲透被視為一種戰略舉措，一旦涉及美國及其盟友的地緣政治緊張局勢或軍事衝突升級，可能會擾亂或摧毀關鍵服務。根據該報告，Volt Typhoon 已成功危害各部門的組織，包括通訊、能源、運輸系統以及供水和廢水處理系統。

這種滲透不僅對美國的組織而且對盟國都構成了重大的商業風險。為了應對這一迫在眉睫的威脅，CISA 及其合作夥伴於週二(3/20)發布了一份情況說明書，旨在為關鍵基礎設施實體的執行領導人提供有關優先保護關鍵基礎設施和功能的指導。

該 情況說明書強調了將網路風險視為核心業務風險的重要性，這對於良好治理和國家安全都至關重要。它敦促領導者授權網路安全團隊做出明智的資源決策，並採取主動措施來檢測和防禦 Volt Typhoon 和其他惡意網路活動。 此外，鼓勵領導者保護供應鏈，在組織內推動網路安全文化，並確保制定強有力的事件回應計畫。

CISA 表示：“Volt Typhoon 不依賴惡意軟體來維持對網路的存取並進行活動。” “相反，他們使用系統的內置功能。這種被稱為‘離地生活’的技術使他們能夠輕鬆逃避檢測。為了防止離地生活，組織需要採取全面、多方面的方法。”此外，CISA 表示關鍵基礎設施領導者應進行桌面演習並制定資訊安全計畫。

諮詢中寫道：“領導者應確保所有業務部門的人員，包括行政領導層，都參與該計劃的製定、簽署，並了解自己的角色和責任。” “確保全面且經過測試的計劃到位並獲得批准，使網路安全團隊能夠做出適當的風險知情決策。”

在專門保護組織供應鏈的部分中，情況說明書建議建立強大的供應商風險管理流程「以評估和監控第三方風險」。 CISA 表示，對於參與採購的人員，這些領導者應使用安全設計原則來為與哪些硬體和軟體供應商合作相關的決策提供資訊。

CISA 還表示，關鍵基礎設施領導者應透過倡導風險評估和審計、與外部安全專家合作以及提高對社交工程策略的認識來培養強大的網路安全文化。該機構鼓勵「IT、OT、雲端、網路安全、供應鏈和業務部門之間的合作，使安全措施與業務目標和風險管理策略保持一致」。

欲了解更多，請參考: https://www.cisa.gov/sites/default/files/2024-03/Fact-Sheet-PRC-State-Sponsored-Cyber-Activity-Actions-for-Critical-Infrastructure-Leaders-508c_0.pdf

Earth Krahang利用政府間信任發動跨政府攻擊，針對全球多個政府實體的APT活動，駭客重點關注東南亞，但也發現針對歐洲、美洲和非洲

中國 APT 駭客Earth Krahang 將全球政府實體作為目標，已成功侵入 23 個國家的至少 70 個組織，其中包括 48 個政府領域的組織。據監測該活動的Trend Micro研究員稱，該活動自 2022 年初以來一直在進行，主要針對政府組織。該研究報告深入探討了 Earth Krahang 的策略、技術和程序 (Tactics, Techniques, and Procedures -TTP)，揭示了Earth Krahang運作及其對全球網路安全的影響。

策略與技術

Earth Krahang 的作案手法包括利用面向公眾的伺服器中的漏洞以及利用魚叉式網路釣魚電子郵件來提供新穎的後門。該活動顯示出一種傾向，即徵用政府基礎設施來發動進一步的攻擊，利用這種存取權限來託管惡意負載並促進網路間諜活動。在公共伺服器上建立立足點後，該組織使用更多的開源軟體包括 sqlmap、nuclei、xray、vscan、pocsuite 和 wordpressscan來掃描敏感檔案、密碼（特別是電子郵件）和其他有用的資源，例如可能指向進一步無人維護的伺服器的孤獨子網域。它還採用了許多暴力攻擊，例如，使用常用密碼清單透過 Outlook 網頁版破解 Microsoft Exchange 伺服器

值得注意的是，Earth Krahang 特別喜歡攻擊的兩個漏洞是 CVE-2023-32315（CVSS 評級為 7.5分的即時協作伺服器 Openfire 中的命令執行漏洞）和 CVE-2022-21587（評級為 9.8分的嚴重命令執行漏洞）使用Oracle 電子商務套件中的Web 應用程式桌面整合器，藉以來獲得未經授權的存取並部署惡意軟體。另外，魚叉式網路釣魚仍然是 Earth Krahang 的一個重要媒介。為引誘目標執行惡意文件而製作的電子郵件通常使用地緣政治主題來製作，表明誘餌的戰略選擇。Earth Krahang 透過 Outlook 網頁版、漏洞掃描尋找 Web 伺服器漏洞以及注入後門對 Exchange 伺服器進行暴力攻擊。根據趨勢科技的報告，該活動的偵察工作非常徹底，廣泛收集了目標實體的電子郵件地址，以最大限度地擴大其網路釣魚嘗試的範圍。

在獲得初始存取權限後，Earth Krahang 使用各種工具和技術來維持存在並利用受感染的網路。在面向大眾的伺服器上使用 SoftEther VPN 是一種值得注意的策略，可讓威脅行為者深入滲透受害者網路。後脅迫活動包括啟用遠端桌面連線、憑證轉儲以及網路內的橫向移動以存取敏感資訊。

Earth Krahang 的工具包包括多個惡意軟體家族，其中Cobalt Strike、RESHELL 和 XDealer 最為突出。 RESHELL（一個簡單的 .NET 後門）和 XDealer（一個更複雜的後門，具有 Windows 和 Linux 的版本）是該活動在目標系統中最初立足的關鍵。XDealer 的演變（透過識別的各種版本證明）表明威脅行為者正在積極開發和自訂。

受害者和歸因

根據研究，該活動針對 23 個國家的約 70 名受害者，主要針對政府組織。目標的廣泛地理分佈突顯了 Earth Krahang 對全球的野心。雖然直接歸因具有挑戰性，但與中國關係威脅組織 Earth Lusca 的聯繫以及與中國公司安洵資訊科技（I-SOON）的潛在聯繫，表明可能有國家級支持的組織在協調行動。Earth Krahang 代表了一種複雜且持續的網路威脅，其重點明顯是政府實體和利用政府基礎設施進行網路間諜活動。該活動獨特的惡意軟體家族和策略突顯了對強大網路安全防禦和意識的需求。建議組織，特別是政府部門內的組織，採取嚴格的安全措施，包括定期軟體更新、員工有關社會工程攻擊的教育以及實施多因素身份驗證以降低入侵風險。Earth Krahang 不斷發展的策略和工具要求網路安全策略不斷保持警惕和適應，以保護敏感資訊和基礎設施免受這些高級威脅的影響。

Earth Krahang的部分入侵指標(Indicator of compromise -IOCs):

244c32c4809a5ea72dfd2a53d0c535f17ba3b33e4c3ee6ed229858d687a2563a

35f16e469047cf4ef78f87a616d26ec09e3d6a3d7a51415ea34805549a41dcfa

3f0aa01ed70bc2ab29557521a65476ec2ff2c867315067cc8a5937d63bcbe815

50cdd2397836d33a8dc285ed421d9b7cc69e38ba0421638235206fd466299dab

57f64f170dfeaa1150493ed3f63ea6f1df3ca71ad1722e12ac0f77744fb1a829

6fd7697efc137faf2d3ad5d63ffe4743db70f905a71dbed76207beeeb04732f2

898a7527c065454ba9fad0e36469e12b214f5a3bd40a5ec7fcaf9b75afc34dce

c14f6ac5bcd8645eb80a612a6bf6d58c31b0e28e50be871f278c341ed1fa8c7c

d17fe5bc3042baf219e81cbbf991749dfcd8b6d73cf6506a8228e19910da3578

23[.]106[.]122[.]5

207[.]148[.]69[.]1

45[.]76[.]157[.]92

50[.]7[.]61[.]26

50[.]7[.]61[.]27

50[.]7[.]61[.]28

欲了解更多，請參考:  https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”