中國黑客針對數十家工業企業和事業單位

自 2022 年 1 月以來，阿富汗和歐洲的十幾家軍工企業和事業單位遭受了針對同時利用六個不同后門竊取機密數據的定向攻擊浪潮。

俄羅斯網絡安全公司卡巴斯基“高度信任”將這些攻擊歸因于Proofpoint追蹤的與中國有關的威脅行為者TA428，理由是在戰術、技術和程序 (TTP) 方面存在重疊。

TA428 也以 Bronze Dudley、Temp.Hex 和 Vicious Panda 的名稱進行追蹤，在烏克蘭、俄羅斯、白俄羅斯和蒙古都有打擊實體的歷史。據信，它與另一個名為 Mustang Panda（又名 Bronze President）的黑客組織有聯系。

最新網絡間諜活動的目標包括幾個東歐國家和阿富汗的工業工廠、設計局和研究機構、政府機構、部委和部門。

攻擊鏈需要使用精心制作的網絡釣魚電子郵件（包括一些引用與組織相關的非公開信息）來滲透企業 IT 網絡，以誘騙收件人打開流氓 Microsoft Word 文檔。

這些誘餌文件帶有針對公式編輯器組件 ( CVE-2017-11882 ) 中 2017 年內存損壞漏洞的利用，該漏洞可能導致在受影響的系統中執行任意代碼，最終導致部署名為 PortDoor 的后門。

2021年 4 月，中國政府支持的黑客發起了魚叉式網絡釣魚攻擊，以侵入一家為俄羅斯海軍設計潛艇的國防承包商的系統。

如果其中一個被檢測到并從網絡中刪除，則使用六種不同的植入程序可能是威脅參與者建立冗余通道以控制受感染主機的嘗試。

入侵的高潮是攻擊者劫持域控制器并完全控制組織的所有工作站和服務器，利用特權訪問以壓縮 ZIP 存檔的形式將感興趣的文件泄露到位于中國的遠程服務器。

攻擊中使用的其他后門包括nccTrojan、Cotx、DNSep、Logtu和以前未被記錄的惡意軟件 CotSam，因其與 Cotx 的相似性而得名。每個都提供了廣泛的功能來控制系統和收集敏感數據。

攻擊中還包含 Ladon，這是一種用于橫向移動的黑客框架，它還使攻擊者能夠掃描網絡中的設備并利用其中的安全漏洞執行惡意代碼。

“魚叉式網絡釣魚仍然是對工業企業和公共機構最相關的威脅之一，”卡巴斯基說。“攻擊者主要使用已知的后門惡意軟件，以及橫向移動和防病毒解決方案規避的標準技術。”

“與此同時，他們能夠滲透到數十家企業，甚至控制整個 IT 基礎設施，以及一些組織的 IT 安全解決方案受到攻擊。”

兩個多月后，發現Twisted Panda演員針對俄羅斯和白俄羅斯的研究機構放棄了一個名為 Spinner 的簡單后門。