新恶意软件在间谍攻击中针对多个政府

A previously undocumented espionage tool has been deployed against selected governments and other critical infrastructure targets as part of a long-running espionage campaign orchestrated by China-linked threat actors since at least 2013.

Broadcom的赛门铁克威胁猎手团队将后门软件Daxin定性为技术先进的恶意软件，使攻击者能够针对中国具有战略利益的电信、运输和制造业实体开展各种通信和信息收集操作。

美国网络安全和基础设施安全局（CISA）在一份独立咨询报告中表示：“大新恶意软件是一种高度复杂的rootkit后门软件，具有复杂的、隐蔽的指挥和控制（C2）功能，使远程参与者能够与未直接连接到互联网的安全设备进行通信。”。

该植入物采用Windows内核驱动程序的形式，该驱动程序实现了一种复杂的通信机制，使恶意软件具有高度的隐蔽性，并能够与物理上与互联网断开连接的机器进行通信。

它通过明确避免启动自己的网络服务来实现这一点，而是选择利用已在受感染计算机上运行的合法TCP/IP服务，将其通信与目标网络上的正常通信混合，并从远程对等方接收命令。

"These features are reminiscent of Regin," the researchers noted, referring to another sophisticated malware and hacking toolkit attributed to the U.S. National Security Agency (NSA) for government spying operations back in 2014.

Daxin的一个不寻常之处在于，它除了不会产生任何可疑的网络流量，让人看不见之外，还能够在受攻击组织内的受感染计算机网络上传递命令，从而创建一个“多节点通信通道”，允许长时间重复访问受损计算机。

虽然最近涉及到后门的入侵据说是在2021年11月发生的，但赛门铁克称它发现了与一个称为Exforel（aka Zala）的老式恶意软件的代码级共性，表明大新可能是由访问后者的代码库的参与者构建的，或者它们是同一组的工作。

The campaigns have not been attributed to a single adversary, but a timeline of the attacks shows that Daxin was installed on some of the same systems where tools associated with other Chinese espionage actors like Slug were found. This includes the deployment of both Daxin and Owprox malware on a single computer belonging to a tech company in May 2020.

“大信无疑是最先进的恶意软件[…]研究人员说：“这是一位与中国有关联的演员使用的。”考虑到其能力和已部署攻击的性质，Daxin似乎针对加固目标进行了优化，使攻击者能够深入目标的网络，并在不引起怀疑的情况下过滤数据。"

一周前，总部位于中国的盘古实验室揭发了一个名为Bvp47的“顶级”后门，美国国家安全局将其用于45个国家的287个组织，主要分布在中国、韩国、日本、德国、西班牙、印度和墨西哥。