中国黑客组织在入侵并植入后门后安装漏洞补丁

中国黑客组织在入侵并植入后门后安装漏洞补丁 Google 旗下的安全公司 Mandiant 在调查中发现,两起不同事件中利用的工具组合是来自中国的威胁行为者 UNC5174 所独有的。Mandiant 评估称,有迹象表明该团体是中国国家安全部的承包商,专注于执行访问操作。该组织已经入侵了数百家不同国家的政府和组织。据观察,攻击者在获得受害者组织的初步网络访问权限之后,正在试图出售高价值目标的访问权。此外,在被入侵的系统中创建后门之后,他们会给被其利用的漏洞打上补丁。此举可能是防止其他黑客组织利用相同的漏洞入侵系统。

相关推荐

封面图片

【朝鲜黑客组织利用 Chrome 0day 漏洞攻击加密货币等机构】

【朝鲜黑客组织利用 Chrome 0day 漏洞攻击加密货币等机构】 谷歌研究人员发现有 2 个朝鲜黑客组织利用了 Chrome 浏览器中的一个远程代码执行 0 day 漏洞超过 1 月,用于攻击新闻媒体、IT 公司、加密货币和金融科技机构。Operation AppleJeus 利用同一个漏洞利用套件攻击了加密货币和金融科技行业的 85 个用户,并成功入侵了至少 2 个金融科技公司网站,并植入了隐藏的 iframe。研究人员还发现攻击者搭建了一些伪造的网站来传播木马化的加密货币应用,隐藏了 iframe 并将访问者指向漏洞利用套件。

封面图片

安全研究人员跟踪到中国黑客组织Earth Krahang入侵了23个国家的70个机构

安全研究人员跟踪到中国黑客组织Earth Krahang入侵了23个国家的70个机构 具体来说,黑客已经入侵了 48 个政府组织,其中 10 个是外交部门,另外 49 个政府机构也成为了黑客的攻击目标。受害者(红色)和目标(黄色)地图(趋势科技)攻击者利用易受攻击的面向互联网的服务器,使用鱼叉式网络钓鱼电子邮件部署定制的网络间谍活动后门。Earth Krahang 滥用其在被攻破的政府基础设施上的存在来攻击其他政府,在被攻破的系统上建立 VPN 服务器,并执行暴力破解以破解重要电子邮件账户的密码。攻击概述威胁行为者利用开源工具扫描面向公众的服务器,查找特定漏洞,如 CVE-2023-32315(Openfire)和 CVE-2022-21587(Oracle Web Apps)。通过利用这些漏洞,他们部署 webhell 来获取未经授权的访问权限,并在受害者网络中建立持久性。或者,他们使用鱼叉式网络钓鱼作为初始访问载体,围绕地缘政治主题发送信息,诱使收件人打开附件或点击链接。一旦进入网络,Earth Krahang 就会利用被入侵的基础设施托管恶意有效载荷、代理攻击流量,并使用被黑客入侵的政府电子邮件账户向其同事或其他政府发送鱼叉式网络钓鱼电子邮件。趋势科技在报告中写道:"我们注意到,Earth Krahang 在侦察阶段会从目标处获取数百个电子邮件地址。在一个案例中,行为者利用一个政府实体的受损邮箱向属于同一实体的 796 个电子邮件地址发送恶意附件"。用于从被入侵账户发送电子邮件的脚本(已删节)(趋势科技)这些电子邮件包含恶意附件,可将后门植入受害者的计算机,传播感染并在检测和清理时实现冗余。攻击者使用被入侵的 Outlook 账户来强行获取 Exchange 凭据,同时还发现了专门从 Zimbra 服务器中渗入电子邮件的 Python 脚本。用于收集电子邮件数据的 Python 脚本(趋势科技)该威胁组织还利用 SoftEtherVPN 在被入侵的面向公众的服务器上建立 VPN 服务器,以建立对受害者私人网络的访问,并进一步提高他们在这些网络中横向移动的能力。Eath Krahang 在网络上建立存在后,会部署 Cobalt Strike、RESHELL 和 XDealer 等恶意软件和工具,提供命令执行和数据收集功能。XDealer 是这两种后门程序中更复杂、更精密的一种,因为它支持 Linux 和 Windows,可以截屏、记录键盘输入和截取剪贴板数据。攻击链概述(趋势科技)趋势科技称,根据指挥和控制(C2)的重叠,它最初发现 Earth Krahang 与中国附属行为者 Earth Lusca 之间存在联系,但确定这是一个独立的集群。这两个威胁组织可能都在中国公司I-Soon 旗下运作,作为专门针对政府实体进行网络间谍活动的特遣部队。此外,RESHELL 以前与"Gallium"组织有关,而 XDealer 则与"Luoyu"黑客有关。然而,趋势科技的洞察力表明,这些工具很可能是威胁行为者之间共享的,每个工具都使用不同的加密密钥。本次的"Earth Krahang"指标清单在此单独发布。 ... PC版: 手机版:

封面图片

美国联邦机构声称中国黑客利用常见漏洞窥探网络流量

美国联邦机构声称中国黑客利用常见漏洞窥探网络流量 几家美国联邦机构今天透露,中国的攻击者已经瞄准并破坏了主要的电信公司和网络服务提供商,以窃取凭据并收集数据。 正如美国国家安全局、中央情报局和联邦调查局在周二发布的联合网络安全公告中所说,中国黑客组织利用众所周知的漏洞入侵了从未打补丁的小型办公室/家庭办公室 (SOHO) 路由器到中型甚至大型企业网络的任何东西。 一旦受到威胁,攻击者就会将这些设备用作他们自己的攻击基础设施的一部分,作为他们可以用来破坏更多网络的命令和控制服务器和代理系统。... 这三个联邦机构公布了这些常见漏洞和暴露 (CVE) 是自 2020 年以来受国家支持黑客最常利用的网络设备 CVE。()

封面图片

菲律宾黑客入侵中国公司网站只为抗议此事!

菲律宾黑客入侵中国公司网站只为抗议此事! 菲律宾黑客团体宣称对中国医疗设备制造商的网络安全漏洞负责。 据Deep Web Konek组织透露,名为DeathNote Hackers的黑客组织是此次针对上海微创医疗(MicroPort)公司网站的攻击者。 黑客成功渗透了该公司的网络,并获取了员工记录、财务文件以及医疗设备和技术的专有研发资料。 Deep Web Konek表示,DeathNote黑客组织此次行动的目的在于抗议中国对西菲律宾海的所谓“侵犯”。

封面图片

#网络安全 Google子公司揭中国黑客隐秘新手法 「可入侵以年计仍不被发现」

#网络安全 Google子公司揭中国黑客隐秘新手法 「可入侵以年计仍不被发现」 Google旗下网络保安公司Mandiant周四(16日)发表报告,指出中国的国家级黑客已开发出能绕过一般网络保安软件的技术,透过直接入侵防火墙本身,在神不知、鬼不觉间入侵别国政府和企业的电脑系统,甚至潜伏以年计而不被发现。// #Mandiant #国家级黑客 #中国黑客 #防火墙 追新闻报导

封面图片

中国黑客组织正在入侵俄罗斯航空航天公司

中国黑客组织正在入侵俄罗斯航空航天公司 一个以前不为人知的中国黑客组织被称为 “太空海盗”,它以俄罗斯航空航天业的企业为目标,通过网络钓鱼邮件在俄罗斯公司的系统上安装新型恶意软件。 据信该威胁组织在2017年开始运作,虽然它与APT41(Winnti)、Mustang Panda 和 APT27 等已知组织有联系,但它被认为是一个新的恶意活动集群。 Positive Technologies 的俄罗斯威胁分析师将该组织命名为 “太空海盗”,因为他们的间谍行动侧重于从航空航天领域的公司窃取机密信息。 太空海盗APT组织被认为是针对位于俄罗斯、格鲁吉亚和蒙古的政府机构和涉及IT服务、航空航天和电力行业的企业。 威胁分析师在去年夏天的事件响应中首次发现了“太空海盗” 的活动迹象,并迅速确认,自2019年以来,该威胁行为者对至少四个以上的俄罗斯国内实体使用了相同的恶意软件和基础设施。 其中两个案例涉及有国家背景的俄罗斯公司,黑客们成功地破坏了这些公司。 在第一起案件中,威胁行为者将其对20台服务器的访问保持了10个月,窃取了1500多份文件、员工资料和其他敏感数据。 在第二个案例中,中国黑客在被入侵公司的网络中停留了一年多,抽走了机密信息,并将恶意软件安装到三个不同地区的12个公司的网络节点上。 #ThreatIntelligence #China #Russia

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人