亚洲证书机构和政府机构遭到中国APT攻击
中国网络间谍组织Billbug的攻击行动
主要收获
Billbug网络间谍组织自3月起针对亚太地区的政府机构和防务机构发动攻击。其攻击的重点是证书授权机构,可能用于避开恶意软件检测。虽然尚未发现数字证书的成功渗透,但该组织展现出其技巧和资源丰富的特点。据SecurityWeek报导,中国高级持续威胁组织Billbug,亦称为Lotus Blossom和Thrip,自3月以来发起了针对亚太地区的攻击行动,已经成功入侵了一个证书授权机构、一个政府实体以及多个防务机构。Symantec在报告中指出,攻击证书授权机构的行为十分引人注目,因为若攻击者能成功渗透,就能获取证书,借此签署恶意软件,并在受害者的设备上避免检测。这样的证书还可以用来拦截HTTPS流量。
苹果能用的加速器
不过,Symantec也强调,目前缺乏证据表明数字证书已成功被渗透。在这些攻击中,Billbug使用了多种公共工具,如AdFind、Winmail、WinRAR、Ping、Port Scanner、Stowaway Proxy Tool、NBTscan、Certutil和Tracert,以及Sagerunex和Hannotog等恶意软件。该行动者能够同时渗透多个受害者,显示出这个威胁组织具有熟练和资源丰富的操作能力,能够展开持续且广泛的攻击行动。Symantec补充道。
这种持续的攻击行为提醒了全球的网络安全专家,随著技术的进步,对于关键基础设施的防护工作应格外谨慎。对于想深入了解该威胁组织的读者,可以参考以下连结进一步了解: 高级持续威胁APT解释
