中共国黑客组织 APT31 使用家庭路由器网络来伪装攻击

据《therecord》作者:Catalin Cimpanu,2021 年 7 月 21 日报道:

一个名为 APT31(或 Zirconium)的中共国网络间谍组织被发现劫持家庭路由器,在其服务器基础设施周围形成代理网络,以中继和掩饰他们的攻击来源。

在今天发布的安全警报中,法国国家网络安全局,也被称为 ANSSI(Agence Nationale de la Sécurité des Systèmes d’Information),公布了最近在对法国组织的攻击中被 APT31 劫持的 161 个 IP 地址的列表。

该机构表示,APT31 攻击始于 2021 年初,并且仍在进行中。

法国官员表示,APT31 的代理僵尸网络既用于对其目标执行侦察行动,也用于自己进行攻击。

在今天的一系列推文中,微软威胁情报中心的安全研究员 Ben Koehl 表示,APT31 正在使用这个代理网络,使攻击看起来似乎来自目标组织所在的国家 IP 地址空间。

采取这种策略的原因之一是,作为安全措施,某些组织可能会阻止来自国际 IP 地址的访问流量。

从历史上看,他们做了经典的“我有个域名-> ip 方法用于 C2 通信。他们已经将流量转移到路由器网络中。这使他们能够灵活地在多个层次上操纵访问目的地,同时减慢追逐通信组件的努力。另一方面,他们能够在目标国家退出,以某种程度上逃避基本的检测技术。

ANSSI 官员现在敦促法国和其他国家/地区的公司获取 161 个 IP 地址,并查看今年是否在网络日志中检测到连接,这表明某个组织可能已成为 APT31 行动的目标。

该机构表示:“在日志中找到其中一个入侵指示器 (Indicator of Compromise) 并不意味着整个系统已被攻破,需要进一步分析。”

根据安全公司 Cyjax 的安全研究员 William Thomas 的说法,IP 地址位于世界各地,并非全部位于法国。VirusTotal还发现了APT31植入安装在被黑路由器上的恶意软件副本。

CERT-FR 报告说#APT31 正在使用入侵的路由器来针对法国组织:https://cert.ssi.gouv.fr/ioc/CERTFR-2021-IOC-003/ ,我整理了一些图表,展示了大约 160 个被披露的 IP 地址。

自 2018 年以来,APTs 已使用代理网络

使用家庭路由器创建代理网络以掩盖 Web 攻击来源的操作策略是当今常见的策略。
在大多数情况下,被黑的路由器和物联网设备被组装成僵尸网络,然后出租给网络犯罪集团。这些团体使用僵尸网络作为巨大的代理网状网络来中继各种恶意活动,例如蛮力攻击、漏洞利用、端口扫描操作和携带被盗数据的流量。

但是,尽管该策略已被出于经济动机的网络犯罪组织广泛使用,至少自 2018 年 4 月以来,它也被视为国家-州级别的黑客组织的武器库的一部分,当时 Akamai 在关于 UPnProxy 的报告 [PDF] 中提到了 APT 滥用技术。

另一方面,APT31也是美国及其盟国在周一指责今年早些时候策划针对 Microsoft Exchange 服务器的黑客活动的两个中共国黑客组织(APT31 和 APT40)之一。

《The Record》了解到,APT31 使用由家用路由器组成的代理网络作为扫描互联网的一种方式,然后在今年早些时候对 Exchange 电子邮件服务器发起和掩饰攻击;当然,该技术也被用于其他操作。

原文连接:https://therecord.media/chinese-hacking-group-apt31-uses-mesh-of-home-routers-to-disguise-attacks/

翻译:洛杉矶盘古农场 – B7
校对:洛杉矶盘古农场 – TrueSky
编辑:洛杉矶盘古农场 – 明子

洛杉矶盘古农场欢迎您加入:(或点击上方图片)

https://discord.gg/2vuvRm7z6U

+3
0 评论
Inline Feedbacks
View all comments