俄罗斯联邦机构受到了中国Webdav-O病毒的攻击

An amalgam of multiple state-sponsored threat groups from China may have been behind a string of targeted attacks against Russian federal executive authorities in 2020.

总部位于新加坡的IB公司发表的最新研究，深入研究了一种叫做“病毒”的计算机病毒Webdav-O“这是在入侵中检测到的，网络安全公司观察到该工具与流行的名为“BlueTraveler”的特洛伊木马程序之间的相似性。已知该特洛伊木马程序与一个名为TaskMasters的中国威胁组织有关，并部署在恶意活动中，目的是间谍活动和窃取机密文件。

研究人员阿纳斯塔西娅·蒂霍诺娃和德米特里·库平说：“中国APT是数量最多、攻击性最强的黑客社区之一。”。“黑客主要针对国家机构、工业设施、军事承包商和研究机构。主要目标是间谍活动：攻击者获取机密数据，并试图尽可能长时间隐藏其存在。”

该报告建立在Solar JSOC和SentinelOne在5月份的一系列公开披露的基础上，这两项披露都披露了一个名为“Mail-O”的恶意软件，在针对俄罗斯联邦行政当局访问云服务邮件的攻击中也发现了该恶意软件。ru，SentinelOne将其与另一个名为“PhantomNet”或“SManager”的著名恶意软件的变体联系起来，该软件由一个名为TA428的威胁参与者使用。

Solar JSOC指出：“黑客的主要目标是完全破坏IT基础设施，窃取机密信息，包括来自封闭部门的文件和关键联邦行政机构的电子邮件通信。”，他补充说，“网络罪犯通过使用合法的实用程序、不可检测的恶意软件，以及深入了解政府机构安装的信息保护工具的工作细节，确保了自己的高度保密。”

IB集团的分析集中在2019年11月上传到VirusTotal的Webdav-O样本上，以及它与Solar JSOC详述的恶意软件样本的重叠，研究人员发现后者是一个更新的、部分即兴的版本，具有附加功能。检测到的Webdav-O样本也与BlueTraveler特洛伊木马有关，理由是源代码的相似性以及命令的处理方式。

此外，对TA428工具集的进一步调查发现，BlueTraveler和名为“Albaniutas”的新生恶意软件菌株之间存在许多共同点，该病毒于2020年12月被认为是威胁行为体，这意味着Albaniutas不仅是BlueTraveler的更新变种，但Webdav-O恶意软件也是BlueTraveler的一个版本。

研究人员说：“值得注意的是，中国黑客组织积极交换工具和基础设施，但这里可能就是这样。”。“这意味着一个特洛伊木马可以由来自不同部门、具有不同培训水平和不同目标的黑客配置和修改。中国黑客团体（TA428和TaskMasters）在2020年攻击俄罗斯联邦行政当局，或者说中国有一个由不同单位组成的联合黑客组织。"