中國駭客入侵全球電信業者從事網路間諜活動的情況,其中又以去年Salt Typhoon(Earth Estries、GhostEmperor或UNC2286)最受到關注,因為他們對美國多家電信業者出手,但如今,這些駭客也將魔掌伸向歐洲電信業者。
資安業者Darktrace揭露發生在今年7月的攻擊行動,他們看到一家歐洲電信業者遭到入侵的活動,比對戰術、手法、流程(TTP)之後,他們認為攻擊者的身分,就是Salt Typhoon。
這群攻擊者疑似透過Citrix NetScaler Gateway漏洞,取得初期存取的管道,隨後轉向、駭入Machine Creation Services(MCS)子網域的Citrix Virtual Delivery Agent(VDA)主機。附帶一提的是,攻擊者的存取活動源自與SoftEther VPN服務有關的端點,目的是混淆駭客的基礎設施。
接著,Salt Typhoon於多臺Citrix VDA植入後門程式Snappybee(也叫做Deed RAT)。令人訝異的是,他們一併將防毒軟體Norton Antivirus、Bkav Antivirus,以及IObit Malware Fighter的執行檔元件,傳送到Citrix VDA主機,目的是透過這些合法軟體檔案用來進行DLL側載,執行後門程式的有效酬載。
Darktrace也提及此後門程式的C2通訊機制,與大部分的惡意程式不同,Salt Typhoon採用虛擬專用伺服器LightNode VPS的端點架設C2,並採用兩種通訊協定進行連線,其中一種是HTTP,另一種是以TCP為基礎的未知通訊協定。
由於這些駭客長期針對全球電信基礎設施從事網路間諜活動,已有前例,最近一起發生在今年6月,加拿大警告當地電信業者及其他產業遭到攻擊。上個月資安業者DomainTools指出,Salt Typhoon與一年半前內部資料被公開的中國資安業者安洵信息(i-Soon),存在著密切的業務關係。
熱門新聞
2025-12-12
2025-12-16
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-16
2025-12-15