中国针对东南亚政府实体的网络间谍

一项新的研究显示，一场原本瞄准缅甸的大规模“高度活跃的战役”扩大了重点，打击了菲律宾境内的多个目标。

俄罗斯网络安全公司卡巴斯基（Kaspersky）于2020年10月首次发现了这些感染，并将其归因于一个被追踪为“发光飞蛾”（LuminousMoth）的威胁行为体。鉴于观察到的受害者、战术和程序，该公司以中到高度的信心将其与中国国家支持的黑客组织HoneyMyte或Mustang Panda联系起来。

缅甸已经确认了大约100名受影响的受害者，而菲律宾的受害者人数则跃升至近1400人，尽管研究人员指出，实际目标仅为最初数字的一小部分，包括位于两国境内和境外的政府实体。

研究人员马克·莱希蒂克、保罗·拉斯卡内雷斯和阿塞尔·卡亚尔说，这些攻击的目的是影响范围广泛的目标，目的是打击少数具有战略意义的目标。换言之，这些入侵同时具有广泛性和狭隘性，使得威胁acor能够从高调目标中吸取情报。

该活动中使用的感染媒介包括向受害者发送一封矛式网络钓鱼电子邮件，其中包含一个Dropbox下载链接，点击该链接后，会指向一个RAR档案，该档案旨在模仿Word文档。存档文件本身带有两个恶意DLL库（“version.DLL”和“wwlib.DLL”），以及两个运行恶意软件的相应可执行文件。

在成功站稳脚跟后，卡巴斯基观察到的另一个感染链利用可移动USB驱动器，借助“version.dll”将恶意软件传播到其他主机。另一方面，“wwlib.dll”的目的是从远程攻击者控制的域下载受损Windows系统上的钴打击信标。

在某些情况下，这些攻击包含了一个额外步骤，其中威胁参与者部署了一个以Zoom视频会议应用程序的已签名但流氓版本为形式的攻击后工具，使用它将敏感文件传送到命令和控制服务器。一个有效的数字证书被用来签署该软件，试图将该工具伪装成良性工具。在一些受感染的机器上还发现了第二个攻击后实用程序，它从Google Chrome浏览器中窃取cookie。

卡巴斯基指出，LuminousMoth的恶意网络操作及其与Mustang Panda APT的可能联系，也可能是一种通过重新加工和开发新的未知恶意软件植入来改变策略和更新防御措施的尝试，从而可能掩盖与他们过去活动的任何联系，模糊他们对已知群体的归属。

卡巴斯基的研究人员说：“APT参与者因其攻击的频繁针对性而闻名。通常，他们会精心挑选一组目标，然后以几乎外科手术般的精度处理，感染载体、恶意植入物和有效载荷根据受害者的身份或环境进行定制。”。

“我们并不经常观察到由符合这一特征的参与者进行的大规模攻击，通常是因为此类攻击噪音大，从而使底层操作面临被安全产品或研究人员破坏的风险。”