自 2021 年以來,與中國政府有關聯的網路間諜組織一直在對亞洲某個國家的電信業者發動網路攻擊。Symantec 賽門鐵克威脅獵捕團隊研究報告指出,攻擊者使用惡意軟體和網路釣魚等多種策略入侵目標網路,並試圖竊取憑證和機密資訊。儘管攻擊者的動機尚不清楚,但專家認為,他們可能是為了收集情報或破壞關鍵基礎設施。
中國間諜活動中使用的變種惡意軟體
賽門鐵克的研究人員觀察到了與中國威脅行為者相關的多種自訂惡意軟體的使用情況,其中包括:
Coolclient: Fireant 組織使用的後門,用於記錄擊鍵並與命令伺服器通訊。該活動利用了透過木馬VLC 媒體播放器提供的版本。它與 Fireant 群體有聯繫,也被稱為 Mustang Panda 或 Earth Preta。
·Quickheal: 與 Needleminer 組織相關的後門,也稱為 RedFoxtrot 或 Nomad Panda。該活動中使用的變體與 2021 年記錄的變體幾乎相同。
Rainyday: 與 Firefly 組織(也稱為 Naikon)相關的後門。使用木馬可執行檔部署多個變體來旁載入惡意載入程式並解密有效負載。至少有一種裝載機變體與 2021 年與 Firefly 相關的變體相匹配。
攻擊者也使用各種策略、技術和程序 (TTP) 來破壞目標。其中包括可能自訂開發的鍵盤記錄惡意軟體,以及用於識別易受攻擊系統的連接埠掃描工具。他們還透過轉儲註冊表來配置單元和利用遠端桌面協定 (RDP) 來竊取憑證。
此外,他們還使用公開可用的工具 Responder 來充當鏈路本地多播名稱解析 (LLMNR)、NetBIOS 名稱服務 (NBT-NS) 和多播 DNS (mDNS) 投毒者。該活動中幾乎所有受害者都是電信營運商,以及一家為電信業提供服務的服務公司和亞洲另一個國家的一所大學。
行動動機與原因推測
Fireant、Needleminer 和 Firefly 專門使用的客製化惡意軟體提供了強有力的證據,表明該活動涉及中國國家資助的組織。美中委員會已將螢火蟲與中國軍事情報部門連結起來。相關團體之間的協調程度尚不清楚,但可能性包括獨立行動、人員/工具共享或積極協作。
駭客活動背後的最終動機仍不確定。潛在目標包括收集電信部門的情報、竊聽語音和數據通訊或開發針對關鍵基礎設施的破壞性能力。
為了防範這些威脅,電信業者和其他組織應確保擁有最新的保護更新,並實施強大的安全措施來偵測和封鎖惡意檔案。Symantec 賽門鐵克威脅獵捕團隊分享了幾個IOC和文件hash值,以幫助用戶檢測該活動。
保護措施
欲獲取最新的保護更新,請訪問Symantec保護公告。
入侵指標 IoC
如果IOC是惡意的且我們擁有該文件,Symantec Endpoint 端點防護產品將可檢測並阻止該文件。
089809e73354648b3caed7db6bc24dcce4f2ef0f327206fd14f36c6619d9ed30 – Rainyday loader
1906e7d5a745a364c91f5e230e16e1566721ace1183a57e8d25ff437664c7d02 – Quickheal
3aae73ff8ff5973c74af5a7991ca6a57ce797b7b775e1358efd9d76b67b5797b – Rainyday loader
4c136270ca4c17edb77985aca570e291fa77abaaa48761f85e184892089164a6 – Coolclient
6a5fdbe9579b69d4a5e1f6930145debd5adb2a9f93dd052bfb442cbd0141277b – Coolclient
6ad67d7f76986359865667bdd51ba267f6bd7e560270512074448dd7b088bcb7 – Rainyday loader
c348eba51897fbd55ca3ffdaab21259b8f73688e6e008b923ebc597c6272d2d9 – Coolclient
c61daa0df88a33387b94b22bfc0b68d1211a57357aff401613c07832b5192fc0 – Rainyday loader
dc9a12574f8c3b5bed6043b1cd3fd43672779d132c864bb22ae8b0a5dee24576 –Rainyday loader
e32c5e6d70895f0d071f420b7ff28c6fe0eaf2c08eeebe39122b3b1fd1981473 – Rainyday loader
f45dabd683795f099a40553e5d85c9bc8a15bb964c992b45cec48c620ff78fdb – Rainyday loader
103.180.161[.]123
110.34.166[.]198
203.159.95[.]197
115.79.207[.]240
206.189.140[.]171
65.60.14[.]246
117.2.82[.]149
113.160.186[.]153
134.209.147[.]60
139.59.35[.]77
134.209.156[.]5
139.84.137[.]139
139.84.130[.]178
139.59.37[.]50
139.84.165[.]248
139.84.166[.]131
139.84.163[.]162
14.161.4[.]152
142.93.223[.]200
146.190.18[.]167
143.110.250[.]11
143.110.244[.]132
159.65.158[.]28
159.89.170[.]164
157.245.107[.]16
38.60.254[.]243
43.152.200[.]62
206.189.136.180
65.20.66[.]128
49.204.77[.]162
65.20.66[.]214
65.20.69[.]80
65.20.70[.]110
65.20.82[.]212
65.20.73[.]72
65.20.76[.]211
swiftandfast[.]net
原文出處 Symatnec Enterprise Blogs https://symantec-enterprise-blogs.security.com/threat-intelligence/telecoms-espionage-asia
Commentaires