Sophos 揭露東南亞的中國間諜活動

Sophos 是以創新安全解決方案對抗網路攻擊的全球領導者，今天發布《紅宮行動：威脅捕獵揭露鎖定東南亞的多個中國國家支持的活動集團》報告，詳細介紹了一場針對高階政府目標且持續近兩年的高度複雜間諜活動。在 Sophos X-Ops 於 2023 年開始的調查中，旗下託管式偵測和回應 (MDR) 團隊發現了針對同一組織的三個不同活動集團，其中兩個集團使用的策略、技術和程序 (TTP) 與知名中國國家支持的組織 (BackdoorDiplomacy、APT15 和 APT41 子集團 Earth Longzhi) 重疊。

攻擊者在這個行動中使用了多種惡意軟體和工具，以收集特定使用者的情報以及敏感的政治、經濟和軍事資訊，Sophos 將其命名為「紅宮行動」(Crimson Palace)。其中包括一種前所未見的惡意軟體，Sophos 將其稱為PocoProxy，是一種持續滲透工具。

Sophos 威脅捕獵和威脅情報主管 Paul Jaramillo 表示：「這些不同的集團似乎在為中國國家的利益服務，專門收集中國在南中國海戰略的軍事和經濟情報。在這次特定的行動中，我們相信這三個集團代表了不同的攻擊組織，它們在中央國家機器的指導下平行運作。在我們識別的三個集團之一——Alpha 集團中，看到惡意軟體和 TTP 與其他四個被舉發的中國威脅組織重疊。眾所周知，中國攻擊者會共用基礎架構和工具，這次最新的行動再次提醒我們這些組織是如何廣泛地共享彼此的工具和技術。

「隨著西方政府提高了對來自中國的網路威脅的警覺性，Sophos 揭露的重疊現象是一個重要的提醒。過度關注任何單一歸咎於中國駭客的行為，可能會使企業忽略這些組織如何協調運作的趨勢。透過掌握更大、更廣泛的全貌，企業可以更聰明地進行防禦。」

Sophos X-Ops 在 2022 年 12 月首次發現鎖定企業網路的惡意活動，當時揭露了一個來自中國威脅組織 Mustang Panda 的資料外洩工具。此後，MDR 團隊開始進行更廣泛的惡意活動捕獵。在 2023 年 5 月，Sophos X-Ops 威脅捕獵時發現了一個有弱點的 VMWare 可執行檔，經過分析，發現了遭鎖定網路中的三個不同活動集團：Bravo 集團、Charlie 集團和 Alpha 集團。

Alpha 集團活躍於 2023 年 3 月初到至少 2023 年 8 月期間，其部署了多種惡意軟體，專注於停用防毒保護、提升權限和進行偵察。其中包括升級版的 EAGERBEE 惡意軟體，而這與中國威脅組織 REF5961 有關。Alpha 集團還使用了與中國威脅組織 BackdoorDiplomacy、APT15、Worok 和 TA428 重疊的 TTP 和惡意軟體。

Bravo 集團僅在遭鎖定網路中活躍了三週，專注於橫向移動，透過受害者網路來側載名為 CCoreDoor 的後門程式。這個後門程式會建立外部通訊路徑、執行探索操作並外洩憑證。

Charlie 集團則活躍於 2023 年 3 月到至少 2024 年 4 月期間，專注於間諜活動和資料外洩。包括部署 PocoProxy：一個偽裝為 Microsoft 可執行檔的持續滲透工具，並建立與攻擊者的指揮和控制基礎架構的通訊。Charlie 集團著重於外洩大量敏感資料，包括軍事和政治文件，以及進一步存取網路的憑證/權杖。Charlie 集團的 TTP 與中國威脅組織 Earth Longzhi (APT41 的一個子集團) 重疊。與 Alpha 和 Bravo 集團不同的是，Charlie 集團仍在活躍中。

Jaramillo 表示：「我們在這次行動中看到的是在南中國海地區積極發展的網路間諜活動。我們發現了可能擁有無限資源的多個威脅組織，它們會針對同一高階政府組織進行數週或數月的攻擊，並會交互使用先進的自訂惡意軟體與公開可用的工具。它們能夠，並且仍然能夠自由地在一個組織中移動，以及經常更換工具。至少有一個活動集團仍然非常活躍，並試圖進行進一步的監視。

「有鑑於這些中國威脅組織經常重疊並共用工具，我們在這次行動中觀察到的 TTP 和新型惡意軟體有可能在全球其他歸因於中國的行動中再次出現。我們將繼續調查這三個集團，並與情報界分享我們的發現。」

詳情請參閱 Sophos 網站上的《紅宮行動：威脅捕獵揭露鎖定東南亞的多個中國國家支持的活動集團》。

如需了解更多這三個活動集團的詳細資訊，請參閱 Sophos 網站上的《紅宮行動：技術深度剖析》。

了解更多資訊

• 2024 年上半年《主動競爭者報告》中網路攻擊者的最新技術、策略和程序 (TTP)

• 《2024 年 Sophos 威脅報告》中針對中小型企業的最大威脅

• 利用威脅活動集群識別惡意活動模式

• 訂閱 Sophos X-Ops 部落格了解 Sophos X-Ops 及其開創性的威脅研究

關於 Sophos

Sophos 是以進階安全解決方案來對抗網路攻擊的全球領導者和創新者，提供了包括託管式偵測與回應 (MDR) 和事件回應服務，以及廣泛的端點、網路、電子郵件和雲端安全技術組合。作為最大型的純網路安全供應商之一，Sophos 保護全球超過 60 萬個企業和超過 1 億個使用者免受主動攻擊者、勒索軟體、網路釣魚、惡意軟體等攻擊。Sophos 的服務和產品可經由 Sophos Central 管理主控台連線，並由旗下跨領域威脅情報部門 Sophos X-Ops 提供支援。Sophos X-Ops 情報會最佳化整個 Sophos 自適應網路安全生態系統，包括一個提供一整組開放式 API 的集中式資料湖，可供客戶、合作夥伴、開發人員和其他網路安全和資訊技術廠商使用。Sophos 為需​​要完全託管型安全解決方案的企業提供了網路安全即服務，客戶還可以使用 Sophos 的安全營運平台直接管理網路安全，或是採用混合式作法，利用 Sophos 的服務來補強自己的內部團隊，包括威脅捕獵和補救措施。Sophos 透過全球經銷商合作夥伴和託管服務供應商 (MSP) 進行銷售。Sophos 總部位於英國牛津。如需詳細資訊，請瀏覽 www.sophos.com。