最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

中国黑客使用新的 Windows 恶意软件为政府、防御组织提供后门

网络安全 快米云 来源:快米云 83浏览

1 月份检测到的一系列广泛攻击使用新的 Windows 恶意软件为来自东欧几个国家的国防工业中的政府实体和组织提供后门。

卡巴斯基将此次活动与追踪为 TA428 的中国 APT 组织联系起来,该组织以信息盗窃和间谍活动为重点,并在亚洲和东欧攻击组织 [ 1 , 2 , 3 , 4 ]。

威胁参与者成功入侵了数十个目标的网络,有时甚至通过劫持用于管理安全解决方案的系统来控制其整个 IT 基础设施。

卡巴斯基 ICS CERT 研究人员表示:“这次袭击针对几个东欧国家(白俄罗斯、俄罗斯和乌克兰)以及阿富汗的工业工厂、设计局和研究机构、政府机构、部委和部门。”

“对调查事件时获得的信息的分析表明,网络间谍活动是这一系列攻击的目标。”

TA428 活动目标(卡巴斯基)
为网络间谍活动部署的新后门
为了实现他们的目标,中国网络间谍使用鱼叉式网络钓鱼电子邮件,其中包含有关目标组织的机密信息和利用 CVE-2017-11882 Microsoft Office 漏洞的恶意代码来部署 PortDoor 恶意软件。

PortDoor 还被用于2021 年 4 月由中国支持的黑客协调的鱼叉式网络钓鱼攻击,以侵入一家为俄罗斯海军设计潜艇的国防承包商的系统。

在攻击的后续阶段,该组织安装了过去与 TA428 相关联的其他恶意软件(即 nccTrojan、Logtu、Cotx 和 DNSep),以及一个从未见过的名为CotSam的恶意软件。

与此活动中使用的其他系列一样,新的后门允许攻击者从受感染的系统中收集和窃取系统信息和文件。

为了交付 CotSam,攻击者甚至将易受攻击的 Microsoft Word 版本与有效负载(32 位系统上的 Microsoft Word 2007 和 64 位系统上的 Microsoft Word 2010)一起包含在内。

TA428攻击流程
TA428 攻击流程(卡巴斯基)

被盗数据转发到中国服务器​
在使用能够进行网络扫描、漏洞搜索和利用以及密码攻击(如 Ladon 黑客实用程序(在中国威胁参与者中很流行))等工具横向移动受害者的企业网络后,他们获得了域权限并获取了机密文件。

接下来,他们将它们作为加密和受密码保护的 ZIP 档案发送到来自不同国家的命令和控制 (C2) 服务器。

然而,所有这些被窃取的数据都被 C2 服务器转发到具有中国 IP 地址的第二阶段服务器。

将这次活动与 TA428 联系起来的证据包括该组织之前的活动在战术、技术和程序 (TTP) 上的显着重叠,用于传递用于针对俄罗斯目标的其他攻击的初始恶意软件有效载荷的相同漏洞,中国威胁参与者常用的恶意工具,以及在中国工作时间与受感染系统的数十个连接。

此外,研究人员还发现了以前用于攻击的恶意软件和 C2 服务器,其他供应商与该中国 APT 组织相关联。

“我们认为,我们发现的攻击系列是 Cyber​​eason、DrWeb 和 NTTSecurity 研究中描述的已知活动的延伸, ”卡巴斯基补充道。

“这得到了我们已经确定的大量事实和大量证据的支持,从受害者的选择到匹配的 CnC 服务器。”

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 中国黑客使用新的 Windows 恶意软件为政府、防御组织提供后门