一场复杂的网络间谍活动已经渗透了东南亚多个军事系统。该行动代号CL-STA-1087,据报道,从2020年就开始活跃了。它悄悄盯上了敏感军事网络,没马上引起注意。
这并非一次破坏性网络攻击。没有突然断网,也没有明显破坏。相反,攻击者一门心思躲着,长期偷情报。他们的目标是了解军事系统,而不是去干扰它们。
当安全系统检测到异常的PowerShell活动时,这场行动才被发现。这些命令一般是用来管理系统,但这次,它们被用来运行隐藏脚本。等人去查这事的时候,部分网络已经被黑了。
攻击者盯上了高价值目标。其中包括指挥控制系统、内部军事结构以及联合作战数据。这类信息能暴露军队的组织方式及其在不同情况下的怎么应对。
调查人员有中等把握判断,该活动跟一个和中国关联的黑客组织有关。这个判断是看他们的作案手法和用的基础设施,但还没正式点名是哪个组织。
入侵方法与初始网络被攻破
攻击者用了精心策划的法子侵入系统。他们部署了延迟执行的PowerShell脚本,这些脚本不会立即激活。通常能休眠好几个小时,以此规避自动化安全检测。
一旦激活,这些脚本便会创建反向Shell(反弹连接)。这使攻击者能够远程访问并控制受感染的系统。他们连接到多个命令与控制(C2)服务器,这些服务器是他们的指挥中心。
华盛顿警告英伟达:向中国销售AI芯片必须遵守不可协商的国家安全底线
初始攻破通常来自不受管理的终端。这些设备安全系统盯得不紧。此类入口点让攻击者更容易溜进更大的网络。
在获得访问权限后,攻击者避免突然的动作。他们采取缓慢而可控的方式。这帮助他们在不被注意的情况下悄悄扩大网络渗透范围。
隐蔽手法与长期潜伏
此次攻击活动的一个关键特征是有耐心。攻击者在获得访问权限后,常常会几个月完全不动。这种沉寂使得检测变得极为困难。
当他们恢复活动时,会在系统之间横向移动。他们使用正规工具,如Windows Management Instrumentation和.NET命令。这些工具通常被系统管理员使用,帮助攻击者混在其中。
从AI应用到AI运营:企业代理时代的工程治理
这种方法通常被称为“就地取才”。
攻击者还尽量缩小了自己的数字痕迹。他们故意把行为伪装成正常的系统操作。这样一来,传统安全系统就更难发现异常活动了。
定制恶意软件和数据窃取技术
攻击者用了多种高级工具来维持访问并收集数据。其中主要工具之一是一个名为AppleChris的后门。该恶意软件能够与命令服务器进行隐蔽通信。
AppleChris使用了一种秘密投放点解析技术。它从Pastebin和Dropbox这类公共平台获取加密指令。然后它用私钥解密数据,让人很难追踪。
另一种工具MemFun完全在系统内存中运行。它不往磁盘里写文件,所以很难被发现。它还会藏到合法的系统进程里头,比如Windows的DLL宿主进程。
MemFun每次会话都用动态生成的Blowfish加密密钥。这样一来,网络流量就很难被分析了。
为了偷取登录凭据,攻击者用了修改版的Mimikatz,叫Getpass。这个工具专门盯着Windows的LSASS进程,偷密码和验证信息。
偷来的数据存到了一个叫WinSAT.db的文件里,这个文件看着就像个正常的系统文件。这就帮攻击者把动静藏起来了。
调查人员还发现了指向源自中国的迹象。攻击者在东八区(北京时间)的工作时间行动,使用了位于中国的基础设施,并在其指令环境中出现了简体中文元素。
热门跟贴