中共國黑客組織 APT31 使用家庭路由器網絡來偽裝攻擊

據《therecord》作者:Catalin Cimpanu,2021 年 7 月 21 日報道:

一個名為 APT31(或 Zirconium)的中共國網絡間諜組織被發現劫持家庭路由器,在其服務器基礎設施周圍形成代理網絡,以中繼和掩飾他們的攻擊來源。

在今天發布的安全警報中,法國國家網絡安全局,也被稱為 ANSSI(Agence Nationale de la Sécurité des Systèmes d’Information),公布了最近在對法國組織的攻擊中被 APT31 劫持的 161 個 IP 地址的列表。

該機構表示,APT31 攻擊始於 2021 年初,並且仍在進行中。

法國官員表示,APT31 的代理僵屍網絡既用於對其目標執行偵察行動,也用於自己進行攻擊。

在今天的一系列推文中,微軟威脅情報中心的安全研究員 Ben Koehl 表示,APT31 正在使用這個代理網絡,使攻擊看起來似乎來自目標組織所在的國家 IP 地址空間。

采取這種策略的原因之一是,作為安全措施,某些組織可能會阻止來自國際 IP 地址的訪問流量。

從歷史上看,他們做了經典的“我有個域名-> ip 方法用於 C2 通信。他們已經將流量轉移到路由器網絡中。這使他們能夠靈活地在多個層次上操縱訪問目的地,同時減慢追逐通信組件的努力。另一方面,他們能夠在目標國家退出,以某種程度上逃避基本的檢測技術。

ANSSI 官員現在敦促法國和其他國家/地區的公司獲取 161 個 IP 地址,並查看今年是否在網絡日志中檢測到連接,這表明某個組織可能已成為 APT31 行動的目標。

該機構表示:“在日志中找到其中一個入侵指示器 (Indicator of Compromise) 並不意味著整個系統已被攻破,需要進一步分析。”

根據安全公司 Cyjax 的安全研究員 William Thomas 的說法,IP 地址位於世界各地,並非全部位於法國。VirusTotal還發現了APT31植入安裝在被黑路由器上的惡意軟件副本。

CERT-FR 報告說#APT31 正在使用入侵的路由器來針對法國組織:https://cert.ssi.gouv.fr/ioc/CERTFR-2021-IOC-003/ ,我整理了一些圖表,展示了大約 160 個被披露的 IP 地址。

自 2018 年以來,APTs 已使用代理網絡

使用家庭路由器創建代理網絡以掩蓋 Web 攻擊來源的操作策略是當今常見的策略。
在大多數情況下,被黑的路由器和物聯網設備被組裝成僵屍網絡,然後出租給網絡犯罪集團。這些團體使用僵屍網絡作為巨大的代理網狀網絡來中繼各種惡意活動,例如蠻力攻擊、漏洞利用、端口掃描操作和攜帶被盜數據的流量。

但是,盡管該策略已被出於經濟動機的網絡犯罪組織廣泛使用,至少自 2018 年 4 月以來,它也被視為國家-州級別的黑客組織的武器庫的一部分,當時 Akamai 在關於 UPnProxy 的報告 [PDF] 中提到了 APT 濫用技術。

另一方面,APT31也是美國及其盟國在周一指責今年早些時候策劃針對 Microsoft Exchange 服務器的黑客活動的兩個中共國黑客組織(APT31 和 APT40)之一。

《The Record》了解到,APT31 使用由家用路由器組成的代理網絡作為掃描互聯網的一種方式,然後在今年早些時候對 Exchange 電子郵件服務器發起和掩飾攻擊;當然,該技術也被用於其他操作。

原文連接:https://therecord.media/chinese-hacking-group-apt31-uses-mesh-of-home-routers-to-disguise-attacks/

翻譯:洛杉磯盤古農場 – B7
校對:洛杉磯盤古農場 – TrueSky
編輯:洛杉磯盤古農場 – 明子

洛杉磯盤古農場歡迎您加入:(或點擊上方圖片)

https://discord.gg/2vuvRm7z6U

+1
0 則留言
Inline Feedbacks
View all comments