中国黑客攻击东南亚主要电信公司

Three distinct clusters of malicious activities operating on behalf of Chinese state interests have staged a series of attacks to target networks belonging to at least five major telecommunications companies located in Southeast Asian countries since 2017.

“这些入侵背后的攻击者的目标是获取并保持对电信提供商的持续访问，并通过收集敏感信息、损害高调业务资产（如包含通话详细记录（CDR）的计费服务器）来促进网络间谍活动Cybereason的Lior Rochberger、Tom Fakterman、Daniel Frank和Assaf Dahan在周二发布的一份技术分析中透露，数据以及关键网络组件，如域控制器、Web服务器和Microsoft Exchange服务器。

The Boston-based cybersecurity firm linked the campaigns, collectively named "DeadRinger," to three different Chinese threat actors, namely Gallium (aka Soft Cell), Naikon APT (aka APT30 or Lotus Panda), and TG-3390 (aka APT27 or Emissary Panda).

围绕三个集群中后一个集群的活动始于2017年，而与镓相关的攻击首次出现在2020年第四季度，奈康集团在2020年第四季度加入了开发行列。据信，这三次间谍活动一直持续到2021年年中。

研究人员称攻击者具有“高度适应性”，并呼吁他们尽最大努力保持对受感染端点的监视和持久性，同时改变战术，更新防御措施，利用今年3月早些时候曝光的ProxyLogon漏洞，对未打补丁的Microsoft Exchange电子邮件服务器进行妥协和后门攻击。

研究人员指出：“行动的每个阶段都表明，攻击者在试图变得更加隐蔽的同时，对各种缓解措施、不断变化的基础设施、工具集和技术做出反应时具有适应性。”。

另一方面，Naikon被发现利用了一个名为“Nebulae”的后门，以及一个之前被称为“EnrollLoger”的未注册键盘记录程序，对选定的高端资产进行操作。值得指出的是，Naikon的星云使用在2021年4月出现，当时对手被认为是针对南洋军事组织的大规模网络间谍活动的幕后黑手。

不管攻击链如何，成功的妥协触发了一系列步骤，使威胁参与者能够执行网络侦察、凭证盗窃、横向移动和数据过滤。

“使者熊猫”集群是三个集群中最古老的一个，主要涉及部署一个定制集群。NET的OWA（Outlook Web Access）后门，用于窃取登录Microsoft OWA服务的用户的凭据，使攻击者能够秘密访问环境。

同样值得注意的是，在受害者学和使用Mimikatz等通用工具方面，集群之间存在重叠，在相同的目标环境中，在相同的时间范围内，甚至在某些情况下在相同的系统上检测到这三个组。

研究人员说：“目前还没有足够的信息来确定这种重叠的性质，即这些集群是否代表三个独立工作的不同威胁参与者的工作，或者这些集群是否代表代表一个威胁参与者的三个不同团队的工作。”说。

“第二个假设是，有两个或两个以上具有不同议程/任务的中国威胁行为体知道彼此的工作，甚至可能协同工作。”