[iThome文章分享] Sophos 揭露东南亚的中国间谍活动

Sophos 是以创新安全解决方案对抗网路攻击的全球领导者，今天发布《红宫行动：威胁捕猎揭露锁定东南亚的多个中国国家支持的活动集团》报告，详细介绍了一场针对高阶政府目标且持续近两年的高度复杂间谍活动。在 Sophos X-Ops 于 2023 年开始的调查中，旗下托管式侦测和回应 (MDR) 团队发现了针对同一组织的三个不同活动集团，其中两个集团使用的策略、技术和程序 (TTP) 与知名中国国家支持的组织 (BackdoorDiplomacy、APT15 和 APT41 子集团 Earth Longzhi) 重叠。

攻击者在这个行动中使用了多种恶意软体和工具，以收集特定使用者的情报以及敏感的政治、经济和军事信息，Sophos 将其命名为「红宫行动」(Crimson Palace)。其中包括一种前所未见的恶意软体，Sophos 将其称为PocoProxy，是一种持续渗透工具。

Sophos 威胁捕猎和威胁情报主管 Paul Jaramillo 表示：「这些不同的集团似乎在为中国国家的利益服务，专门收集中国在南中国海战略的军事和经济情报。在这次特定的行动中，我们相信这三个集团代表了不同的攻击组织，它们在中央国家机器的指导下平行运作。在我们识别的三个集团之一——Alpha 集团中，看到恶意软体和 TTP 与其他四个被举发的中国威胁组织重叠。众所周知，中国攻击者会共用基础架构和工具，这次最新的行动再次提醒我们这些组织是如何广泛地共享彼此的工具和技术。

「随著西方政府提高了对来自中国的网路威胁的警觉性，Sophos 揭露的重叠现象是一个重要的提醒。过度关注任何单一归咎于中国骇客的行为，可能会使企业忽略这些组织如何协调运作的趋势。透过掌握更大、更广泛的全貌，企业可以更聪明地进行防御。」

Sophos X-Ops 在 2022 年 12 月首次发现锁定企业网路的恶意活动，当时揭露了一个来自中国威胁组织 Mustang Panda 的资料外泄工具。此后，MDR 团队开始进行更广泛的恶意活动捕猎。在 2023 年 5 月，Sophos X-Ops 威胁捕猎时发现了一个有弱点的 VMWare 可执行档，经过分析，发现了遭锁定网路中的三个不同活动集团：Bravo 集团、Charlie 集团和 Alpha 集团。

Alpha 集团活跃于 2023 年 3 月初到至少 2023 年 8 月期间，其部署了多种恶意软体，专注于停用防毒保护、提升权限和进行侦察。其中包括升级版的 EAGERBEE 恶意软体，而这与中国威胁组织 REF5961 有关。Alpha 集团还使用了与中国威胁组织 BackdoorDiplomacy、APT15、Worok 和 TA428 重叠的 TTP 和恶意软体。

Bravo 集团仅在遭锁定网路中活跃了三周，专注于横向移动，透过受害者网路来侧载名为 CCoreDoor 的后门程式。这个后门程式会建立外部通讯路径、执行探索操作并外泄凭证。

Charlie 集团则活跃于 2023 年 3 月到至少 2024 年 4 月期间，专注于间谍活动和资料外泄。包括部署 PocoProxy：一个伪装为 Microsoft 可执行档的持续渗透工具，并建立与攻击者的指挥和控制基础架构的通讯。Charlie 集团著重于外泄大量敏感资料，包括军事和政治文件，以及进一步存取网路的凭证/权杖。Charlie 集团的 TTP 与中国威胁组织 Earth Longzhi (APT41 的一个子集团) 重叠。与 Alpha 和 Bravo 集团不同的是，Charlie 集团仍在活跃中。

Jaramillo 表示：「我们在这次行动中看到的是在南中国海地区积极发展的网路间谍活动。我们发现了可能拥有无限资源的多个威胁组织，它们会针对同一高阶政府组织进行数周或数月的攻击，并会交互使用先进的自订恶意软体与公开可用的工具。它们能够，并且仍然能够自由地在一个组织中移动，以及经常更换工具。至少有一个活动集团仍然非常活跃，并试图进行进一步的监视。

「有鉴于这些中国威胁组织经常重叠并共用工具，我们在这次行动中观察到的 TTP 和新型恶意软体有可能在全球其他归因于中国的行动中再次出现。我们将继续调查这三个集团，并与情报界分享我们的发现。」

详情请参阅 Sophos 网站上的《红宫行动：威胁捕猎揭露锁定东南亚的多个中国国家支持的活动集团》。

如需了解更多这三个活动集团的详细信息，请参阅 Sophos 网站上的《红宫行动：技术深度剖析》。

 

原文连结：https://www.ithome.com.tw/pr/163345