中国黑客在最新网络攻击中瞄准中东电信

针对中东的恶意活动可能与后门外交，一个与中国有联系的高级持续威胁（APT）组织。

据称，针对该地区一家电信公司的间谍活动于2021 8月19日开始，成功利用了Microsoft Exchange Server中的ProxyShell漏洞。

最初的妥协利用了易受侧面加载技术影响的二进制文件，然后使用合法和定制的工具进行侦察、获取数据、在环境中横向移动并逃避检测。

Bitdefender研究人员Victor Vrabie和Adrian Schipor在与《黑客新闻》分享的一份报告中表示：“恶意工具的文件属性表明，威胁行为者首先部署的工具是NPS代理工具和IRAFAU后门”。

“从2022年2月开始，威胁参与者使用了另一种工具；Quarian后门，以及许多其他扫描仪和代理/隧道工具”。

2021 6月，ESET首次记录了后门外交，入侵主要针对非洲和中东的外交实体和电信公司，以部署Quarian（又名Turian或Whitebird）。

使用键盘记录程序和PowerShell脚本收集电子邮件内容，证明了此次攻击的间谍动机。IRAFAU是获得落脚点后交付的第一个恶意软件组件，用于执行信息发现和横向移动。

这通过从命令和控制（C2）服务器下载和上传文件、启动远程shell并执行任意文件来实现。

行动中使用的第二个后门是Quarian的更新版本，它具有更广泛的功能来控制被破坏的主机。

同时投入使用的还有一个名为Impersoni fake ator的工具，该工具嵌入到DebugView和Putty等合法实用程序中，旨在捕获系统元数据并执行从C2服务器接收的解密有效载荷。

入侵的进一步特点是使用了开源软件，如ToRat（一种Golang远程管理工具）和AsyncRAT（后者可能通过Quarian删除）。

Bitdefender将此次攻击归因于后门外交，原因是该组织在先前战役中使用的C2基础设施存在重叠。