與中國有關的間諜使用六個后門從國防、工業企業組織竊取信息

據卡巴斯基研究人員稱，北京支持的網絡間諜使用特制的網絡釣魚電子郵件和六個不同的后門侵入并竊取軍事和工業集團、政府機構和其他公共機構的機密數據。

我們被告知，安全車間的工業控制系統 (ICS) 響應團隊最初在 1 月份發現了一系列有針對性的攻擊，這些攻擊損害了包括白俄羅斯、俄羅斯、烏克蘭和阿富汗在內的幾個東歐國家的十幾個組織。 

“攻擊者能夠滲透數十家企業，甚至劫持一些企業的 IT 基礎設施，控制用于管理安全解決方案的系統，”該團隊在周一發布的一份報告中寫道。

卡巴斯基“高度自信地”將這些攻擊歸咎于中國網絡犯罪團伙TA428，該團伙有針對東亞和俄羅斯軍事和研究機構的歷史。 

ICS 研究團隊確定了位于中國的惡意軟件和命令和控制服務器，并補充說，最近的一系列攻擊“很可能”是其他研究團隊之前發現的正在進行的網絡間諜活動的延伸。

它們聽起來也與Check Point Research 于 5 月發現的由中國網絡間諜開展并針對俄羅斯國防機構的另一項名為Twisted Panda的活動非常相似。

根據卡巴斯基的說法，不法分子通過網絡釣魚電子郵件獲得了對企業網絡的訪問權限，其中一些包含不公開的組織特定信息。

研究人員解釋說：“這可能表明攻擊者提前做了準備工作（他們可能已經在之前對同一組織或其員工，或與受害組織相關的其他組織或個人的攻擊中獲得了信息）。” 

據推測，因為這些特制的攻擊包括有關受害者組織的機密信息，攻擊者更容易誘騙一些員工打開電子郵件——以及附加的 Microsoft Word 文檔。Word 文檔包含惡意代碼，該代碼利用CVE-2017-11882漏洞在受感染機器上部署 PortDoor 惡意軟件，而無需任何額外的用戶活動。例如，用戶不需要啟用宏，這在這些類型的攻擊中很常見。

PortDoor惡意軟件是一種相對較新的后門，據信是由中國政府資助的團體開發的，該后門還被用于 2021 年針對一家為俄羅斯聯邦海軍設計核潛艇的俄羅斯國防承包商的網絡釣魚攻擊。 

卡巴斯基表示，其團隊開發了一個新版本的 PortDoor，它可以建立持久性，然后收集受感染計算機上的信息，并可用于遠程控制系統，同時安裝其他惡意軟件。

除了 PortDoor，攻擊者還使用其他六個后門來控制受感染的系統并竊取機密數據。其中一些（nccTrojan、Logtu、Cotx 和 DNSep）以前被歸因于 TA428。然而，根據卡巴斯基的  說法，被稱為CotScam的第六個后門是新的。

在感染了初始計算機后，不法分子橫向移動，使用在攻擊早期被盜的憑據在企業網絡上的其他設備上傳播惡意軟件。我們被告知，他們使用了 Ladon 黑客工具，該工具結合了網絡掃描、漏洞搜索功能、利用、密碼攻擊和其他惡意功能來進行橫向移動。

卡巴斯基指出，據報道在中國網絡犯罪分子中流行的 Ladon 實用程序的這種使用是 TA42 支持這些間諜活動的另一個指標。

在獲得受感染機器的管理員權限后，犯罪分子手動搜索并選擇文件以竊取包含有關受害組織的敏感數據的文件，然后將這些文件上傳到托管在不同國家/地區的服務器。然后這些服務器將私人信息轉發到中國的第二階段服務器。

卡巴斯基警告說：“鑒于攻擊者已經取得了一些成功，我們認為未來很有可能再次發生類似的攻擊。” “工業企業和事業單位應做大量工作，成功挫敗此類攻擊。”