中國黑客在電信網絡攻擊中復活 PlugX
思科 Talos 的研究人員發現了一場與講中文的高級持續威脅 (APT) 行為者有關的複雜網絡間諜活動,標誌著北京不斷擴大的數字間諜活動的最新篇章。
該行動自 2022 年以來一直活躍,目標是中亞和南亞的電信和製造公司。其核心是 PlugX 的改進版本,PlugX 是一種臭名昭著的遠程訪問木馬 (RAT),於 2008 年首次被發現。
PlugX 已在全球一些最引人注目的網絡攻擊中得到部署,其中包括 2015 年美國人事管理局遭受的攻擊。儘管歷史悠久,PlugX 仍然是中國網絡武器庫中最有效的工具之一,研究人員現在相信一些組織甚至可能可以獲得其原始源代碼。
發生了什麼事?
在一篇博客文章中,Cisco Talos 將此次活動歸因於 Naikon,這是一個活躍的中文威脅組織,自 2010 年以來一直在運作,與中國人民解放軍有聯繫。該組織主要針對東南亞各地的政府、軍事和民間組織。
據思科 Talos 稱,新的 PlugX 變體與另外兩個中國間諜工具 RainyDay 和 Turian 極為相似,這表明 Naikon 可能與 BackdoorDiplomacy 密切合作,甚至重疊,後者是另一個以部署 Turian 後門而聞名的 APT。
所有三個惡意軟件家族都有共同的關鍵特徵:濫用合法應用程序進行 DLL 旁加載、使用相同的加密例程以及部署高級反分析方法。
為什麼電信是目標
電信網絡是主要的間諜目標,提供對敏感數據、戰略通信甚至整個人口的訪問。通過滲透這些系統,威脅行為者可以獲得寶貴的情報並持續訪問關鍵基礎設施。思科 Talos 發現一名受害者在兩年多的時間裡仍然受到威脅,這凸顯了這些活動的持續存在。
攻擊如何進行
該活動通常以包含惡意電子郵件或文檔的網絡釣魚電子郵件開始。一旦打開,攻擊者就會利用 DLL 旁加載 — 欺騙合法應用程序加載隱藏的惡意軟件。從那裡,PlugX 安裝後門、記錄擊鍵並悄悄提取敏感數據。
如何保持保護
安全專家建議高風險行業的組織立即採取預防措施:
- 保持 Windows 系統和應用程序更新以防止 DLL 旁加載。
- 使用可以檢測異常行為的檢測工具,而不僅僅是已知的惡意軟件簽名。
- 維護強大的密碼策略並啟用多重身份驗證 (MFA)。
- 定期離線備份系統和關鍵數據。
- 培訓員工識別網絡釣魚電子郵件並避免可疑下載。
更大的圖景
這種新的 PlugX 變種的發現凸顯了與中國有關的 APT 活動在亞洲的持續存在。通過改進 PlugX 等舊工具而不是放棄它們,中國黑客正在將經過驗證的方法與新功能相結合,以保持隱蔽性和有效性。
隨著活動的繼續,網絡安全專家警告說,在網絡間諜世界中,新舊威脅之間的界限越來越模糊——這使得警惕比以往任何時候都更加重要。
