中国间谍组织依靠开源工具掩盖入侵

快速阅读: 《Cyber Scoop 独家新闻》消息，国家支持的中国黑客组织UNC5174被发现采用开源工具进行网络攻击，融合普通网络犯罪活动以保持低调。该组织擅长间谍活动，目标多为西方机构，利用如VShell和WebSockets等工具进行后渗透操作，同时保留定制恶意软件用于Linux系统攻击。

由国家支持的中国黑客组织被观察到使用近期发布的开源攻击性安全工具及其他策略，试图融入更为普遍的网络犯罪活动。该组织即UNC5174，是一个以间谍为目的的黑客组织，被认为与中国政府有关联，目标锁定西方国家政府、科技公司、研究机构及智库。在Sysdig研究人员观察到的一项新活动中，该组织被发现利用VShell——一款由中国开发者制作并在中国网络罪犯中流行的开源远程访问特洛伊木马——进行后渗透活动。他们还被发现利用WebSockets——一组开源通信协议——与指挥控制基础设施通信，在加密传输中掩盖了大部分恶意流量。Sysdig威胁研究工程师阿莱桑德拉·里佐指出：“我们的运行时捕获确认，一旦连接升级为WebSocket，除了几个随机单词外，我们在网络流量中未发现任何值得注意的内容。”

这种行为符合研究人员正在观察到的一个更大趋势，即更先进的国家资助威胁行为者正放弃定制工具，转而使用开源或“脚本小子”（技术水平较低的网络罪犯）使用的廉价工具。里佐写道，这种方法“似乎特别适用于这个特定的威胁行为者，自其与中国政府相关联以来，该行为者在过去一年一直保持低调。”这一点值得注意，因为“几乎所有的”UNC5174直到过去一年所观察到的工具都是定制开发的，“不容易复制”。

UNC5174在一月份仍被观察到使用VShell和WebSockets，尽管该组织继续依赖定制恶意软件进行Linux系统的后渗透攻击。事实上，UNC5174的一个标志是利用SNOWLIGHT恶意软件家族，这是Mandiant研究人员首次识别的一种与VShell协同工作的恶意软件，用于在受害系统上部署无文件恶意软件。在这次最新的活动中，攻击者使用了一个名为“dnsloger”的有效载荷，它是SNOWLIGHT家族的一部分。他们的行动反映了对基于Linux的操作系统的深入了解，包括维持持久性、防御规避和注入技术的方法。

目前尚不清楚UNC5174是如何获得初始访问权限的，但Sysdig研究人员发现的一些工件中包含多个指挥控制域，这表明可能采用了拼写陷阱网站和网络钓鱼手段。这些发现与其他最近关于UNC5174的活动报告相符。2024年，法国网络安全局ANSSI观察到一名攻击者使用与UNC5174相同的漏洞利用技术，针对Ivanti的Cloud Service Appliance产品，获得了受感染机器的远程代码执行权限。这次攻击包括在Ivanti发布安全公告前几天利用零日漏洞（CVE2024-8190）。但该机构进一步调查受感染受害者后发现，该组织使用了“常见入侵集”来获取初始访问权限，并暗示UNC5174可能将其访问权限出售给了出价最高的人。

该机构表示：“较为隐秘且复杂的这一入侵集特征在于广泛可用的开源入侵工具的使用，以及已公开报道过的rootkit代码的使用。”“然而，每次事件中的后续渗透活动都有所不同，这支持了这样一个假设：即该入侵集被用作获取初始访问点的手段，然后可以出售或交给其他操作员。”

里佐写道，UNC5174使用开源工具如VShell和WebSockets的做法可能帮助该组织掩盖了其在其他尚未被发现的活动中的存在。“缺乏关于此威胁行为者使用VShell的公开信息足以说明问题，因为我们收集到的证据显示，此次活动至少自2024年11月以来就已活跃。”里佐指出。

(以上内容均由Ai生成)