首页 > 最新消息 >[资安人文章分享] Sophos:中国国家支持的间谍活动──红宫行动在东南亚扩散
最新消息
2024-09-19
[资安人文章分享] Sophos:中国国家支持的间谍活动──红宫行动在东南亚扩散
Sophos 发布《红宫行动:新工具、新战术、新目标》报告,详细说明这一个持续了近两年的中国网路间谍活动在东南亚的最新进展。Sophos X-Ops 在今年 6 月首次揭露了此一被其命名为「红宫行动」(Crimson Palace) 的活动,并详细揭露了他们在某备受瞩目的政府组织内发现的三个中国国家级独立行动群组:群组 Alpha、群组 Bravo 和群组 Charlie。在 2023 年 8 月短暂休兵后,Sophos X-Ops 注意到群组 Bravo 和群组 Charlie 的活动讯号再次增强,不仅出现在最初的目标内,也扩展至该地区的其他多个组织。
延伸阅读:Sophos揭露《红宫行动》报告:中国国家支持的骇客组织锁定东南亚政府机构
在调查这些重新出现的活动时,Sophos X-Ops 发现了一种新型键盘侧录程式,威胁捕猎团队将其命名为 "Tattletale"。该程式能够模仿已登入系统的使用者,并蒐集与密码政策、安全设定、快取密码、浏览器信息,以及储存资料相关的信息。Sophos X-Ops 在报告中也指出,与第一波行动相比,群组 Charlie 使用开源工具的比例愈来愈高,而非他们在首波活动中使用的自订恶意软体。
Sophos 威胁捕猎与威胁情报总监 Paul Jaramillo 表示,在行动初期,群组 Charlie 部署了各种自订工具和恶意软体。然而,我们成功『摧毁』了他们一开始的基础架构,并阻断指挥和控制 (C2) 工具,迫使他们改变作法,但他们随即改用了开源工具,显示这些攻击团体具备快速适应能力以及持久性,而这似乎也成为中国国家级攻击团体的新兴趋势。安全社群均致力于保护我们最敏感的系统免受这些攻击者的侵害,因此分享有关这种转变的观察非常重要。
群组 Charlie 与中国威胁团体 Earth Longzhi 共用了战术、技术和程序 (TTP),其最初于 2023 年 3 月至 8 月间在东南亚一个高阶的政府组织中活动。在沉寂数周后,该群组于 2023 年 9 月重新出现,并持续活跃到至少 2024 年5 月。在这次行动的第二阶段,群组 Charlie 专注于更深入第渗透网路、躲避端点侦测与回应 (EDR) 工具,以及蒐集更多情报。除了改用开源工具外,群组 Charlie 也开始使用群组 Alpha 和群组 Bravo 最初部署的战术,这表明有一个上层组织指挥著这三个活动群组。Sophos X-Ops 已追踪到群组 Charlie 持续在东南亚多个其他组织进行活动。
群组 Bravo 与中国威胁团体 Unfading Sea Haze 亦共用了战术、技术和程序 (TTP),最初仅在 2023 年 3 月于目标网路中活跃了三周。然而,该群组于 2024 年 1 月重新出现,这次的目标则扩展至同一地区的至少 11 个其他组织和机构。
延伸阅读:Sophos揭露《红宫行动》报告:中国国家支持的骇客组织锁定东南亚政府机构
在调查这些重新出现的活动时,Sophos X-Ops 发现了一种新型键盘侧录程式,威胁捕猎团队将其命名为 "Tattletale"。该程式能够模仿已登入系统的使用者,并蒐集与密码政策、安全设定、快取密码、浏览器信息,以及储存资料相关的信息。Sophos X-Ops 在报告中也指出,与第一波行动相比,群组 Charlie 使用开源工具的比例愈来愈高,而非他们在首波活动中使用的自订恶意软体。
Sophos 威胁捕猎与威胁情报总监 Paul Jaramillo 表示,在行动初期,群组 Charlie 部署了各种自订工具和恶意软体。然而,我们成功『摧毁』了他们一开始的基础架构,并阻断指挥和控制 (C2) 工具,迫使他们改变作法,但他们随即改用了开源工具,显示这些攻击团体具备快速适应能力以及持久性,而这似乎也成为中国国家级攻击团体的新兴趋势。安全社群均致力于保护我们最敏感的系统免受这些攻击者的侵害,因此分享有关这种转变的观察非常重要。
群组 Charlie 与中国威胁团体 Earth Longzhi 共用了战术、技术和程序 (TTP),其最初于 2023 年 3 月至 8 月间在东南亚一个高阶的政府组织中活动。在沉寂数周后,该群组于 2023 年 9 月重新出现,并持续活跃到至少 2024 年5 月。在这次行动的第二阶段,群组 Charlie 专注于更深入第渗透网路、躲避端点侦测与回应 (EDR) 工具,以及蒐集更多情报。除了改用开源工具外,群组 Charlie 也开始使用群组 Alpha 和群组 Bravo 最初部署的战术,这表明有一个上层组织指挥著这三个活动群组。Sophos X-Ops 已追踪到群组 Charlie 持续在东南亚多个其他组织进行活动。
群组 Bravo 与中国威胁团体 Unfading Sea Haze 亦共用了战术、技术和程序 (TTP),最初仅在 2023 年 3 月于目标网路中活跃了三周。然而,该群组于 2024 年 1 月重新出现,这次的目标则扩展至同一地区的至少 11 个其他组织和机构。
原文连结:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11249