新研究将看似完全不同的恶意软件攻击与中国黑客联系起来

最新研究显示，中国网络间谍组织APT41与看似完全不同的恶意软件活动有关。该研究将该组织网络基础设施的其他部分整合在一起，以打击一场由国家赞助的活动，该活动利用新冠病毒主题的钓鱼诱惑，以印度的受害者为目标

“我们发现的图像是一场由国家赞助的运动，利用人们对迅速结束疫情的希望，诱捕受害者，”黑莓研究和情报团队在与《黑客新闻》分享的一份报告中说。“一旦进入用户的机器，威胁就会通过使用自己的定制配置文件隐藏其网络流量，融入数字木制品中。”

APT41（又名Baba或Winnti）是一个被分配给一个多产的中国网络威胁组织的绰号，该组织早在2012年就开展了由国家资助的间谍活动，以及出于经济动机的谋取个人利益的行动。Mandiant（前FireEye）称该组织为“双龙”，因为它有两个目标。他指出，该组织倾向于打击医疗保健、高科技和电信行业，以建立长期接入，并为知识产权盗窃提供便利

此外，该组织以策划网络犯罪入侵而闻名，这些入侵旨在窃取源代码和数字证书、虚拟货币操纵、部署勒索软件，以及通过在发布软件更新之前将恶意代码注入合法文件来执行软件供应链妥协

黑莓的最新研究基于Mandiant在2020年3月之前的发现，详细描述了APT41发起的“全球入侵行动”，该行动利用影响Cisco和Citrix设备的多个众所周知的漏洞，丢弃并执行下一阶段的有效载荷，这些载荷随后被用于在受损系统上下载Cobalt Strike信标加载程序。加载器因其使用可延展的指挥与控制（C2）配置文件而闻名，该配置文件允许信标将其与远程服务器的网络通信混合到来自受害网络的合法通信中

BlackBerry在3月29日发现了一名化名为“1135”的中国安全研究人员上传到GitHub的类似C2配置文件，它使用元数据配置信息识别了一组与APT41相关的新域，这些域试图将信标流量伪装成来自微软网站的合法流量，与Higaisa APT group和Winnti在过去一年中披露的活动相关的IP地址和域名重叠

对URL的后续调查显示，多达三个恶意PDF文件接触到了一个新发现的域，该域以前也托管过Cobalt Strike团队服务器。这些文件，2019冠状病毒疾病可能作为一种初始感染媒介使用，声称是由印度政府发布的COVID-19咨询，或包含关于非居民印第安人的最新所得税立法的信息。

矛式网络钓鱼附件以的形式出现。LNK文件或。ZIP存档，打开后，会将PDF文档显示给受害者，而在后台，感染链会导致执行钴击信标。尽管在2020年9月发现的一系列使用类似网络钓鱼诱饵的入侵都是针对Evilnum集团的，但黑莓表示，折衷指标指向了一个与APT41相关的活动

“有了国家级威胁组织的资源，他们的基础设施就有可能创造出真正惊人的多样性，”研究人员说，并通过公开共享信息将威胁行为者的恶意活动拼凑在一起，有可能“揭开涉案网络罪犯努力隐藏的痕迹”