微軟:中國利用生成式 AI 在美國和台灣散播假訊息 鎖定台美選民

與中國有關聯的駭客組織Storm-1376利用人工智慧(AI)生成的內容和虛假的社交媒體帳號,來煽動美國、台灣和其他地方的分裂,旨在加劇社會的混亂。

根據微軟威脅分析中心(MTAC)在4 月 6 日發布名為 Same targets, new playboks: East Aisa threat actors employ unique methods的報告,在過去七個月裡,中國的認知作戰的活動加強利用人工智慧在(AI)全球散佈虛假資訊並煽動不和,報告稱,微軟觀察到了國家支持的駭客組織的顯著趨勢,這表明駭客不僅在熟悉的目標上加倍努力,而且還試圖使用更複雜的影響技術來實現他們的目標,特別是激增的生成式AI內容也被用來增強與中國有關的線上認知作戰(Influence Operations) 的活動。

AI生成的虛假內容影響台灣選舉的時間表 Photo Credit: 微軟

微軟指出,它發現1月台灣總統選舉期間更複雜細緻的AI內容遽增,包括出現一個AI創造的假音檔片段,音檔中假造的郭台銘聲音表示,他支持另一位總統後選人。這是微軟威脅情報首次詳細介紹國家級駭客組織利用人工智慧產生的內容來試圖影響國外選舉的情況。微軟進一步說,我們稱之為 Storm-1376 的駭客組織,也稱為 Spamouflage 和 Dragonbridge,在台灣選舉日,它發布了由人工智慧生成的前候選人郭台銘(他於 2023 年 11 月退出競選)在總統競選中支持另一位候選人的虛假音訊。實際上,郭台銘並沒有發表過這樣的言論。

報告指出,Storm-1376 推廣了一系列人工智慧生成的梗圖(Memes),內容涉及台灣當時的民進黨(DPP)總統候選人賴清德、其他台灣官員以及世界各地的中國異議人士。其中包括至少從 2023 年 2 月起,Storm-1376 就開始越來越多地使用人工智慧生成的電視新聞主播。微軟觀察到在台灣的選舉中國宣傳團體製作人工智慧生成的新聞廣播,並配有假主播,以影響選舉。其中一些剪輯是使用 CapCut 產生的,CapCut 是位元組跳動(Tik Tok母公司)旗下的人工智慧編輯工具。

值得注意的是,與中國政府相關的帳號也發布了人工智慧生成的媒體片段,旨在煽動美國的混亂。報告指出,人工智慧生成的一張圖片將 2023 年夏威夷火災歸咎於美國製造的氣象武器,Storm-1376 使用人工智慧生成的燃燒的沿海道路和住宅圖像使內容更加引人注目,並以至少 31 種語言發布文字。在另一個案例中,該組織針對感恩節假期期間發生的肯塔基州火車脫軌事件發起了一場社群媒體活動。這些貼文散佈了這樣的說法:美國政府可能造成了這次脫軌,並且故意隱瞞了一些事情。此外,許多中國社群媒體訊息都要求追隨者評論他們支持哪位美國總統候選人。微軟表示,這些帳號的運作可能是為了增加圍繞美國關鍵投票人口統計的情報收集。

微軟預計中國網路和認知作戰的參與者將努力瞄準今年稍後舉行的一系列關鍵選舉,包括印度、韓國和美國,利用人工智慧協助他們的活動。研究人員警告說,雖然直接影響可能很小,但隨著時間的推移,中國的能力可能會變得更加複雜。除了影響選舉之外,微軟的報告還強調了北京如何擴大與情報收集相關的駭客行動。這些行動旨在更好地了解友好國家和敵對國家的政治進程並竊取敏感技術。

美國CISA 敦促針對中國APT駭客伏特颱風採取防禦行動

美國網路安全機構建議關鍵基礎設施領導者採取多種最佳實踐和防禦措施,以防範中國政府發動的攻擊

美國網路安全與基礎設施安全局(CISA) 昨天向關鍵基礎設施組織的領導人發出嚴厲警告,警告中華人民共和國(PRC) 國家支持的被稱為「伏特颱風」的駭客組織所構成的迫在眉睫的威脅。

CISA 與國家安全局 (NSA)、聯邦調查局 (FBI) 以及其他美國政府和國際合作夥伴合作,於 2024 年 2 月 7 日發布了一份重要公告。 該通報證實,Volt Typhoon 5年來一直進入某些美國關鍵基礎設施組織,攻擊者在某些受害 IT 環境中保持存取和立足點至少五年。CISA 表示,Volt Typhoon 一直在積極滲透美國關鍵基礎設施組織的網路。這種滲透被視為一種戰略舉措,一旦涉及美國及其盟友的地緣政治緊張局勢或軍事衝突升級,可能會擾亂或摧毀關鍵服務。根據該報告,Volt Typhoon 已成功危害各部門的組織,包括通訊、能源、運輸系統以及供水和廢水處理系統。

這種滲透不僅對美國的組織而且對盟國都構成了重大的商業風險。為了應對這一迫在眉睫的威脅,CISA 及其合作夥伴於週二(3/20)發布了一份情況說明書,旨在為關鍵基礎設施實體的執行領導人提供有關優先保護關鍵基礎設施和功能的指導。

該 情況說明書強調了將網路風險視為核心業務風險的重要性,這對於良好治理和國家安全都至關重要。它敦促領導者授權網路安全團隊做出明智的資源決策,並採取主動措施來檢測和防禦 Volt Typhoon 和其他惡意網路活動。 此外,鼓勵領導者保護供應鏈,在組織內推動網路安全文化,並確保制定強有力的事件回應計畫。

CISA 表示:“Volt Typhoon 不依賴惡意軟體來維持對網路的存取並進行活動。” “相反,他們使用系統的內置功能。這種被稱為‘離地生活’的技術使他們能夠輕鬆逃避檢測。為了防止離地生活,組織需要採取全面、多方面的方法。”此外,CISA 表示關鍵基礎設施領導者應進行桌面演習並制定資訊安全計畫。

諮詢中寫道:“領導者應確保所有業務部門的人員,包括行政領導層,都參與該計劃的製定、簽署,並了解自己的角色和責任。” “確保全面且經過測試的計劃到位並獲得批准,使網路安全團隊能夠做出適當的風險知情決策。”

在專門保護組織供應鏈的部分中,情況說明書建議建立強大的供應商風險管理流程「以評估和監控第三方風險」。 CISA 表示,對於參與採購的人員,這些領導者應使用安全設計原則來為與哪些硬體和軟體供應商合作相關的決策提供資訊。

CISA 還表示,關鍵基礎設施領導者應透過倡導風險評估和審計、與外部安全專家合作以及提高對社交工程策略的認識來培養強大的網路安全文化。該機構鼓勵「IT、OT、雲端、網路安全、供應鏈和業務部門之間的合作,使安全措施與業務目標和風險管理策略保持一致」。

欲了解更多,請參考: https://www.cisa.gov/sites/default/files/2024-03/Fact-Sheet-PRC-State-Sponsored-Cyber-Activity-Actions-for-Critical-Infrastructure-Leaders-508c_0.pdf

中國APT駭客Earth Krahang 鎖定全球政府實體 入侵了23 個國家的70 個組織

Earth Krahang利用政府間信任發動跨政府攻擊,針對全球多個政府實體的APT活動,駭客重點關注東南亞,但也發現針對歐洲、美洲和非洲

中國 APT 駭客Earth Krahang 將全球政府實體作為目標,已成功侵入 23 個國家的至少 70 個組織,其中包括 48 個政府領域的組織。據監測該活動的Trend Micro研究員稱,該活動自 2022 年初以來一直在進行,主要針對政府組織。該研究報告深入探討了 Earth Krahang 的策略、技術和程序 (Tactics, Techniques, and Procedures -TTP),揭示了Earth Krahang運作及其對全球網路安全的影響。

策略與技術

Earth Krahang 的作案手法包括利用面向公眾的伺服器中的漏洞以及利用魚叉式網路釣魚電子郵件來提供新穎的後門。該活動顯示出一種傾向,即徵用政府基礎設施來發動進一步的攻擊,利用這種存取權限來託管惡意負載並促進網路間諜活動。在公共伺服器上建立立足點後,該組織使用更多的開源軟體包括 sqlmap、nuclei、xray、vscan、pocsuite 和 wordpressscan來掃描敏感檔案、密碼(特別是電子郵件)和其他有用的資源,例如可能指向進一步無人維護的伺服器的孤獨子網域。它還採用了許多暴力攻擊,例如,使用常用密碼清單透過 Outlook 網頁版破解 Microsoft Exchange 伺服器

Earth Krahang的攻擊鏈 Photo Credit: Trend Micro

值得注意的是,Earth Krahang 特別喜歡攻擊的兩個漏洞是 CVE-2023-32315(CVSS 評級為 7.5分的即時協作伺服器 Openfire 中的命令執行漏洞)和 CVE-2022-21587(評級為 9.8分的嚴重命令執行漏洞)使用Oracle 電子商務套件中的Web 應用程式桌面整合器,藉以來獲得未經授權的存取並部署惡意軟體。另外,魚叉式網路釣魚仍然是 Earth Krahang 的一個重要媒介。為引誘目標執行惡意文件而製作的電子郵件通常使用地緣政治主題來製作,表明誘餌的戰略選擇。Earth Krahang 透過 Outlook 網頁版、漏洞掃描尋找 Web 伺服器漏洞以及注入後門對 Exchange 伺服器進行暴力攻擊。根據趨勢科技的報告,該活動的偵察工作非常徹底,廣泛收集了目標實體的電子郵件地址,以最大限度地擴大其網路釣魚嘗試的範圍。

在獲得初始存取權限後,Earth Krahang 使用各種工具和技術來維持存在並利用受感染的網路。在面向大眾的伺服器上使用 SoftEther VPN 是一種值得注意的策略,可讓威脅行為者深入滲透受害者網路。後脅迫活動包括啟用遠端桌面連線、憑證轉儲以及網路內的橫向移動以存取敏感資訊。

Earth Krahang 工具包包括多個惡意軟體家族,其中Cobalt Strike、RESHELL 和 XDealer 最為突出。 RESHELL(一個簡單的 .NET 後門)和 XDealer(一個更複雜的後門,具有 Windows 和 Linux 的版本)是該活動在目標系統中最初立足的關鍵。XDealer 的演變(透過識別的各種版本證明)表明威脅行為者正在積極開發和自訂。

受害者和歸因

根據研究,該活動針對 23 個國家的約 70 名受害者,主要針對政府組織。目標的廣泛地理分佈突顯了 Earth Krahang 對全球的野心。雖然直接歸因具有挑戰性,但與中國關係威脅組織 Earth Lusca 的聯繫以及與中國公司安洵資訊科技(I-SOON)的潛在聯繫,表明可能有國家級支持的組織在協調行動。Earth Krahang 代表了一種複雜且持續的網路威脅,其重點明顯是政府實體和利用政府基礎設施進行網路間諜活動。該活動獨特的惡意軟體家族和策略顯了對強大網路安全防禦和意識的需求。建議組織,特別是政府部門內的組織,採取嚴格的安全措施,包括定期軟體更新、員工有關社會工程攻擊的教育以及實施多因素身份驗證以降低入侵風險。Earth Krahang 不斷發展的策略和工具要求網路安全策略不斷保持警惕和適應,以保護敏感資訊和基礎設施免受這些高級威脅的影響。

Earth Krahang的部分入侵指標(Indicator of compromise -IOCs):

244c32c4809a5ea72dfd2a53d0c535f17ba3b33e4c3ee6ed229858d687a2563a

35f16e469047cf4ef78f87a616d26ec09e3d6a3d7a51415ea34805549a41dcfa

3f0aa01ed70bc2ab29557521a65476ec2ff2c867315067cc8a5937d63bcbe815

50cdd2397836d33a8dc285ed421d9b7cc69e38ba0421638235206fd466299dab

57f64f170dfeaa1150493ed3f63ea6f1df3ca71ad1722e12ac0f77744fb1a829

6fd7697efc137faf2d3ad5d63ffe4743db70f905a71dbed76207beeeb04732f2

898a7527c065454ba9fad0e36469e12b214f5a3bd40a5ec7fcaf9b75afc34dce

c14f6ac5bcd8645eb80a612a6bf6d58c31b0e28e50be871f278c341ed1fa8c7c

d17fe5bc3042baf219e81cbbf991749dfcd8b6d73cf6506a8228e19910da3578

23[.]106[.]122[.]5

207[.]148[.]69[.]1

45[.]76[.]157[.]92

50[.]7[.]61[.]26

50[.]7[.]61[.]27

50[.]7[.]61[.]28

欲了解更多,請參考:  https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

中國APT駭客利用Barracuda電子郵件安全閘道器中的零日漏洞 鎖定美國、亞太及日本的政府、科技組織

#CVE-2023-7102

Photo Credit: Barracuda

美國資安廠商Barracuda 透露,中國國家級駭客利用其電子郵件安全網關(ESG)設備中的零日漏洞在「有限數量」的設備上部署後門,ESG漏洞(編號為 CVE-2023-7102)是一個影響「Spreadsheet::ParseExcel」的任意程式碼執行漏,「Spreadsheet::ParseExcel」是 ESG 裝置用來檢查 Excel 電子郵件附件是否有惡意軟體的開源程式庫。攻擊者可以在特製的 Excel 檔案中植入惡意程式碼,並將其作為附件發送給目標組織。當 ESG 裝置掃描電子郵件時,惡意程式碼會在沒有任何使用者互動的情況下執行,使攻擊者能夠存取系統並竊取有價值的資料。

Barracuda將該活動歸因於Mandiant 追踪的中國APT駭客UNC4841,該組織此前曾積極利用Barracuda 設備中另一個零日漏洞(CVE-2023-2868,CVSS 評分:9.8 )。UNC4841於12 月20 日被發現利用零日漏洞CVE-2023-7102,但有證據表明該活動於11 月30 日左右開始。駭客利用 CVE-2023-7102 向 Barracuda 客戶提供 SeaSpy 和 SaltWater 惡意軟體的新變種。這些攻擊是 UNC4841 網路間諜活動的一部分,針對的是政府、IT 和高科技組織,主要位於美國以及亞太和日本 (APJ) 地區。

Barracuda迅速做出回應,部署更新來修復漏洞以及可能受到新發現的惡意軟體變體危害的 ESG 設備。Barracuda發布了一個安全更新,該更新已於 2023 年 12 月 21 日“自動應用”,客戶無需採取進一步行動。Barracuda還進一步指出,它一天後「部署了一個修補來修復受入侵的 ESG 設備,該設備顯示出與新識別的惡意軟體變體相關的入侵跡象」,然而它沒有透露入侵的規模。也就是說,Spreadsheet::ParseExcel Perl 模組(版本 0.65)中的原始漏洞仍未修補,並已被指派 CVE 識別碼CVE-2023-7101,需要下游使用者採取適當的補救措施。

據一直在調查該組織活動的 Mandiant 稱,自 2022 年 10 月以來,估計至少有 16 個國家的一些私營和公共部門組織受到了影響。Google Cloud 表示,不早於 2023 年 11 月 30 日,它觀察到針對高科技、資訊科技供應商和政府實體的 CVE-2023-7102 漏洞利用,這些實體主要位於美國和亞太地區。最新的發展再次證明了UNC4841 的適應性,利用新的策略和技術在現有漏洞被堵住的情況下保留對高優先目標的存取權。Mandiant 預計,UNC4841未來可能會將其目標攻擊面擴大到其他設備,並利用更多種類的漏洞。

Barracuda電子郵件安全閘道設備(ESG)漏洞的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

803cb5a7de1fe0067a9eeb220dfc24ca 56f3f571a986180e146b6cf387855bdd  

952c5f45d203d8f1a7532e5b59af8e330 6b5c1c53a30624b6733e0176d8d1acd

118fad9e1f03b8b1abe00529c61dc3edf da043b787c9084180d83535b4d177b7

IP

23.224.99.242

23.225.35.238

107.148.41.146

來自中國的BlackTech透過思科設備入侵各國企業與機關!

CISA 表示,BlackTech 透過使用各種工具和技術來修改甚至替換設備的韌體,從而瞄準了思科和其他路由器製造商

美國和日本的情報、執法和網路安全機構近日共同發出警告,指出一個來自中國、代號為BlackTech,也被稱為Palmerworm、Temp.Overboard、Circuit Panda和Radio Panda的進階持續性威脅組織(APT),曾經在思科(Cisco)路由器韌體中植入後門,以侵入跨國公司的網路系統。這項警告呼籲企業和機構加強網路安全,特別是在使用思科路由器等類似設備時,需謹慎保護其網路系統免受攻擊。

BlackTech是一個自2010年起就相當活躍的中國APT組織,以其在亞洲所進行的網路間諜活動而聞名,他們的目標包括國防、政府、電子、電信、技術、媒體和電信等多個部門,主要針對香港、日本和台灣進行攻擊。

此次的攻擊手法為修改思科路由器的韌體,使其在保持潛伏的狀態下,從海外子公司侵入日本和美國的總部。他們利用已建立的受害者與其他實體之間的可信任網路關係,逐步增強其在目標網路中的訪問權。一旦獲得初始進入點和對網路邊緣設備的管理訪問權,他們通常會進一步修改以隱藏其活動,確保在受害者的環境中能夠持續潛伏。

BlackTech的目標通常是分支路由器,這些路由器用於企業總部與外部辦事處的網路連接,他們使用客製的韌體後門,通過發送特別的TCP或UDP封包來啟用或禁用後門,這項入侵技術也會影響其他的網路設備,並不僅僅限於思科路由器。

為了入侵路由器,並在受害者的網路中進行移動,攻擊者使用遠程桌面協議(RDP),禁用受感染路由器上的記錄,以防止受害者透過路由器紀錄發現端倪。

BlackTech匯使用多個客製化的惡意軟體來針對不同的操作系統,包括Windows、Linux和FreeBSD。這些客製化的惡意軟體的名稱包括BendyBear、Bifrose、BTSDoor、FakeDead、FlagPro、FrontShell、IconDown、PLEAD、SpiderPig、SpiderSpring、SpiderStack和WaterBear。這些入侵工具不斷透過更新換版來逃避安全軟體的檢測,甚至使用竊取的程式碼簽章憑證來掩蓋。

思科對外宣稱以下數點聲明,並保證BlackTech並未成功利用其產品中的任何漏洞:


這些攻擊中最普遍的初始訪問途徑涉及被竊取或安全性不足的管理憑證。如報告中所述,某些配置更改,例如禁用記錄和下載韌體是需要透過管理憑證進行。

  • 沒有跡象表明思科的設備有任何漏洞被人利用。攻擊者是使用被竊取的憑證來執行管理級別的配置和韌體更改。
  • 現代思科設備包括安全啟動功能,不允許加載和執行修改後的軟體映像檔。
  • 報告中提到的被竊取的程式碼簽章憑證不是來自思科,沒有任何思科的程式碼簽章憑證被竊取以對思科基礎設施設備進行攻擊的情況。

然而發言人也表示,警報強調了公司​​迫切需要更新、修補和安全配置其網路設備,這是維護安全和實現整體網路彈性的關鍵步驟。

更多關於中國APT的資訊:

中國 APT組織利用 HTML挾帶手法來攻擊歐洲外交部和大使館

研究稱中國APT駭客利用MgBot惡意軟體攻擊騰訊QQ,以監視非營利組織

中國APT駭客組織 Mustang Panda利用新的自訂義後門MQsTTang發動攻擊,瞄準歐洲、亞洲和澳洲,研究顯示已鎖定台灣政府機構!

中國國家級駭客組織RedAlpha針對全球人道主義、智囊團和政府發動大規模憑證盜竊活動

研究稱RedAlpha對台灣非常關注,包含民進黨、美國在台協會國防安全研究院和外交部等都是其目標。此APT駭客組織擅長利用假冒但逼真的登入網頁進行釣魚攻擊,達到竊取帳號憑證的目的。

RedAlpha製做假冒我國外交部的登入網頁進行釣魚攻擊 Photo Credit: Insikt Group

根據Recorded Future旗下Insikt Group的研究指出,中國APT客組織RedAlpha至少自 2015 年以來一直以”高速”運作,但直到 2018 年才引起資安全人員的注意,RedAlpha專門從事大規模憑證收集,通過令人信服的網路釣魚電子郵件和附加的 PDF檔案來實現,將受害者導入假冒但逼真的登錄頁面,以竊取用戶名和密碼等登陸憑證。分析師稱,自 2019 年以來該活動進一步增加,在過去三年中,觀察到 RedAlpha 註冊和武器化350個網域名,以進行網路間諜活動,欺騙各大組織,利用大量網域名仿冒人道主義、智庫和政府組織當中包括:

自由亞洲電台(Radio Free Asia)

德國墨卡託中國研究所( Mercator Institute for China Studies)

大赦國際(Amnesty International)

國際人權聯合會International Federation for Human Rights

美國商會(包括台灣美國商會)American Chamber of Commerce( including AmCham Taiwan)

普渡大學(Purdue University )

印度國家資料中心(India’s National Informatics Centre)

台灣民進黨(Taiwan’s Democratic Progressive Party)

美國在台協會(American Institute in Taiwan)

全球多個國家的外交部(Ministries of foreign affairs in multiple countries globally)

值得注意的是,報告指出,隨著在過去一年美中在台灣問題上關係日益緊張,RedAlpha對台灣的機構特別感興趣,包含民進黨、美國在台協會,國防安全研究院和外交部等都是其目標。此外還發現,RedAlpha還對巴西、越南和葡萄牙的外交部以及印度國家資料中心進行了憑證盜竊攻擊,RedAlpha使用以下與台灣組織有關的假冒網域名:

Photo Credit: Insikt Group

根據Insikt Group的分析,RedAlpha維護著龐大的運營基礎設施,目的是針對與這些組織直接相關的個人,而不是簡單地模仿這些組織來針對其他第三方。據信RedAlpha與一家名為江蘇君立華域信息安全技術股份公司(前身為南京青苜信息技术有限公司)的中國信息安全公司有關聯,RedAlpha用來註冊假冒的惡意域名的一個電郵地址與此公司有關聯,而江蘇君立華域信息公司正與多家中國政府所有的企業有業務往來,突顯了RedAlpha 活動與中國政府有關聯。

有關RedAlpha的”部分”入侵指標(Indicator of compromise -IOCs):

SHA 256

ff1b335b8c25f5879935933b05a4ae0d3a424f3c6f797dbe9b3d93f5e67cc055

fe93dc40b80e7a5f5ca35f5efdeefe043caffe20befaa3345ffe3560fe54518d

f3384e36784f88f2c83ff524f99accbc7bb3b2804a936c0d9cf10da749eca10d

d1deb6661df0414663012dac208bda9db1a6ed964d6da022ab8b4763cbb37f48

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

中國APT駭客組織ToddyCat建立了新型間諜軟體,以 MS Exchange伺服器為目標,對歐洲和亞洲知名實體發動針對性攻擊,台灣也受害!

ToddyCat 的工具–Samurai後門和 Ninja木馬旨在為攻擊者提供對入侵網路的持久性和深度存取

被稱為 ToddyCat的APT 駭客組織使用兩個以前不為人知的工具,分別稱為“Samurai backdoor”和“Ninja Trojan”。據Kaspersky的分析顯示,ToddyCat 的活動始於 2020 年 12 月,針對台灣和越南三個組織的未修補的 Exchange 伺服器進行了攻擊。攻擊者使用未知漏洞破壞 Exchange 伺服器並在系統上部署China Chopper Web shell,然後使用 Web shell 啟動了一個多階段的感染鏈,其中涉及自訂義入程式,最終以一種新型的惡意軟體工具一個名為“Samurai”的被動式後門程式,部署在被侵的系統上。

Samurai後門旨在讓攻擊者持續存取面向 Internet 的 Web 伺服器,後門經由在Port 80 和 443 上運作,主要用於在受感染的系統上遠端執行任意C#程式,可配合多種模組,允許攻擊者執行遠端程式並在目標網路內橫向移動。

2020 年 12 月至 2021 年 2 月是第一波攻擊的時期,ToddyCat鎖定了台灣和越南少數的Exchange伺服器, 隨後從 2 月 26 日到 3 月初,ToddyCat的攻擊迅速升級,開採Exchange Server的ProxyLogon漏洞攻擊歐洲和亞洲的多個高知名度組織,包括政府、軍事單位和軍方外包商。Kaspersky表示,ToddyCat的受害者包括俄羅斯、英國、斯洛伐克、印度、伊朗和馬來西亞的組織,能實現可能與地緣政治利益相關的關鍵目標,屬於傳統上中國APT駭客組織感興趣的行業和部門。

攻擊鏈,Photo Credit: Kaspersky

研究人員在調查攻擊中也發現,雖然第一波的攻擊,植入Samurai 後門針對 MS Exchange伺服器,但在隨後的一些攻擊中使用 Samurai 後門啟動“Ninja”木馬程式,另一種以前沒被發現過的攻擊工具。

Ninja 是一種類似Cobalt Strike 的惡意軟體,用於在已經受到攻擊的系統上執行後攻擊活動(post-exploitation)的工具,允許攻擊者控制遠端系統,操縱檔案系統,操縱進程,在其他進程中注入任意程式碼,轉發 TCP 數據包,還能修改HTTP header及URL 路徑,偽裝惡意流量,躲避偵測。從技術角度來看,Ninja是一種協作工具,允許多個攻擊者同時在同一台機器上操作。

總括而言,使 Samurai 和 Ninja 變得危險的原因在於惡意軟體中包含的反取證和反分析技術。例如Samurai 旨在與 Microsoft Exchange 共享 TCP 端口 80 和 443,無法通過監視端口來檢測,該惡意軟體還使用複雜的載入方式來避免檢測並保持持久性。此外,它使用一種稱為控制流扁平化的技術來避免被靜態分析工具檢測到。Ninja Trojan是一種模組化惡意軟體,攻擊者可以輕鬆擴展其功能,另外,由於Ninja Trojan僅在內存中運行,從未出現在檔案系統上,因此更難被檢測。

有關ToddyCat的”部分”入侵指標(Indicator of compromise -IOCs):

Hostname:

eohsdnsaaojrhnqo.windowshost.us

SHA 256:

e9bd74e4609cdcaf77e191628ccde2124be03a8daf38f1615df6fe7d096b0fba

be34b508eaf7d58f853fc912d43b0b51e6b963726742e383c2a8b2b0828a736f

8e2cd616286a13df82c9639d84e90a3927161000c8204905f338f3a79fe73d13

2b0e66bb1a4877cfe650a027754e18085d0e34ab73025d9458e6136560120ec5

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

中國APT駭客組織針對電信公司進行有關5G的網路間諜活動,旨在竊取與5G技術相關的數據

McAfee的報告中稱,這項名為”Operation Diànxùn電信行動”的活動是由於在多個國家/地區禁止在5G推廣中使用中國技術而引起的。據安全廠商稱,活動背後的威脅者正在使用中國APT野馬熊貓(Mustang Panda) 在攻擊中使用的策略和相關手法,研判該行動出自他們之手,該組織先前已被多家安全廠商確認為中國政府資助的駭客。

根據McAfee的研究,攻擊的目標位於美國,歐洲和東南亞,特別針對德國和越南的電信公司。資料顯示受害者會被誘騙到一個偽裝成是華為求職的釣魚網站,從網站上研究員發現了偽裝為Flash應用程式的惡意軟體,這些惡意軟體會連接到受駭客控制下的網域“ hxxp:/ /update.careerhuawei.net”,hxxp://career.huawei.com” 這些惡意網址經過精心設計,看起來像極合法的華為求職網站。研究員在12月還觀察到此行動中使用新的網址:“hxxp://update.huaweiyuncdn.com。”

攻擊目標的分散圖

儘管數十個政府最初對華為和中興等中國公司建立5G感興趣,但近幾個月來,美國和一些歐洲國家已敦促各國對中國政府在一定程度上的封殺,華為被廣泛認為是5G領域的中國領導者,但包括美國、澳洲、日本、英國、法國等在內的國家的政府都禁止使用華為的5G技術,因為擔心華為的5G技術可能包含可以進行廣泛間諜活動的後門,但McAfee也補充說,沒有任何跡象顯示華為與當前的威脅活動有任何關連。

據安全廠商稱,目前尚不清楚攻擊者最初是如何誘騙受害者到釣魚網站的,但受害者一旦連接就會到一個與華為的求職網站非常相似的網頁。攻擊者使用虛假網站下載了偽裝成Flash應用程式的惡意軟體,還精心設計了從中下載的Flash應用程式的網站,使其外觀類似於Flash在中國的官方網頁,該惡意軟體還可以在受感染系統上下載Cobalt Strike滲透工具。

報告稱由於攻擊者利用虛假的華為網站,提供了更多有關行動的線索,相信該行動旨在竊取敏感數據與監視5G技術相關的電信公司,McAfee研究員Thomas Roccia又稱,觀察到大多數組織都是對中國推出的5G技術表示擔心的,這表明電信行動(Operation Diànxùn)與全球部署下一代通信技術(next-gen communications)息息相關。

相關情資:

https://otx.alienvault.com/pulse/6050e65d389812e02dfca3c3

Source:

https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-dianxun.pdf