首页 > 最新消息 >Sophos 报告发现中国国家支持的间谍活动在东南亚扩散

最新消息

2024-09-12

Sophos 报告发现中国国家支持的间谍活动在东南亚扩散


Sophos 是以创新安全解决方案对抗网路攻击的全球领导者,9/12发布《红宫行动:新工具、新战术、新目标》报告,详细说明这一个持续了近两年的中国网路间谍活动在东南亚的最新进展。

Sophos X-Ops 在今年 6 月首次揭露了此一被其命名为「红宫行动」(Crimson Palace) 的活动,并详细揭露了他们在某备受瞩目的政府组织内发现的三个中国国家级独立行动群组:群组 Alpha、群组 Bravo 和群组 Charlie。在 2023 年 8 月短暂休兵后,Sophos X-Ops 注意到群组 Bravo 和群组 Charlie 的活动讯号再次增强,不仅出现在最初的目标内,也扩展至该地区的其他多个组织。

在调查这些重新出现的活动时,Sophos X-Ops 发现了一种新型键盘侧录程式,威胁捕猎团队将其命名为 Tattletale。该程式能够模仿已登入系统的使用者,并蒐集与密码政策、安全设定、快取密码、浏览器信息,以及储存资料相关的信息。Sophos X-Ops 在报告中也指出,与第一波行动相比,群组 Charlie 使用开源工具的比例愈来愈高,而非他们在首波活动中使用的自订恶意软体。

Sophos 威胁捕猎与威胁情报总监 Paul Jaramillo 表示:「我们与这些攻击者之间的攻防一直像是对弈的竞赛。在行动初期,群组 Charlie 部署了各种自订工具和恶意软体。然而,我们成功『摧毁』了他们一开始的基础架构,并阻断指挥和控制 (C2) 工具,迫使他们改变作法。这是好事。但他们随即改用了开源工具,显示这些攻击团体具备快速适应能力以及持久性,而这似乎也成为中国国家级攻击团体的新兴趋势。安全社群均致力于保护我们最敏感的系统免受这些攻击者的侵害,因此分享有关这种转变的观察非常重要。」

群组 Charlie 与中国威胁团体 Earth Longzhi 共用了战术、技术和程序 (TTP),其最初于 2023 年 3 月至 8 月间在东南亚一个高阶的政府组织中活动。在沉寂数周后,该群组于 2023 年 9 月重新出现,并持续活跃到至少 2024 年5 月。在这次行动的第二阶段,群组 Charlie 专注于更深入第渗透网路、躲避端点侦测与回应 (EDR) 工具,以及蒐集更多情报。除了改用开源工具外,群组 Charlie 也开始使用群组 Alpha 和群组 Bravo 最初部署的战术,这表明有一个上层组织指挥著这三个活动群组。Sophos X-Ops 已追踪到群组 Charlie 持续在东南亚多个其他组织进行活动。

群组 Bravo 与中国威胁团体 Unfading Sea Haze 亦共用了战术、技术和程序 (TTP),最初仅在 2023 年 3 月于目标网路中活跃了三周。然而,该群组于 2024 年 1 月重新出现,这次的目标则扩展至同一地区的至少 11 个其他组织和机构。

Jaramillo 补充:「我们不仅看到『红宫行动』中的三个群组持续精进和协调他们的战术,甚至进一步扩展行动范围,试图渗透到东南亚其他目标。有鉴于中国国家级攻击团体经常共用基础架构和工具,以及群组 Bravo 和群组 Charlie 的对象已经超越原始目标,我们很可能会看到这场行动继续演变,甚至出现在新的地点。我们将密切监控这一情况。」