研究人员将广泛的间谍攻击追溯到中国的“蝉”黑客

一个由中国政府支持的高级持续威胁（APT）组织因挑出日本实体而闻名，该组织被认为是针对新地区的一场新的长期间谍活动的结果，这表明威胁行为人的目标“扩大”。

据信，最早于2021年年中开始的大规模侵入活动，一直持续到2022年2月，与一个被追踪为蝉，也被称为APT10、大熊猫、钾、青铜河畔或MenuPass团队。

博通软件旗下的赛门铁克威胁猎手团队的研究人员在与《黑客新闻》分享的一份报告中说：“这场蝉（又名APT10）运动的受害者包括世界多个国家的政府、法律、宗教和非政府组织（NGO），包括欧洲、亚洲和北美的NGO”。

赛门铁克威胁猎手团队的高级信息开发人员布里吉德·O·戈尔曼（Brigid O.Gorman）告诉《黑客新闻》：“政府和非政府组织部门对受害者的关注非常强烈，其中一些组织在宗教和教育领域开展工作”。

大多数有针对性的组织都位于美国、加拿大、香港、土耳其、以色列、印度、黑山和意大利，同时还有一个受害者在日本，敌方在这些受害者的网络上花费了长达九个月的时间。

“电信、法律和制药行业也有一些受害者，但政府和非营利组织似乎是这场运动的主要焦点，”戈尔曼补充道。

今年2021年3月，卡巴斯基的研究人员完成了一项情报收集行动，该组织从日本的一些工业部门部署信息收集植入物。

今年2月早些时候，“大熊猫”卷入了一场针对台湾金融业的有组织供应链攻击，目的是从受损系统窃取敏感信息。

赛门铁克观察到的新一系列攻击始于参与者通过Microsoft Exchange服务器中已知的未修补漏洞获得初始访问权限，并利用该漏洞部署他们选择的后门SodaMaster。

“然而，我们没有观察到攻击者利用特定漏洞进行攻击，因此我们无法确定他们是否利用了ProxyShell或ProxyLogon[漏洞]，”戈尔曼说。

SodaMaster是一种基于Windows的远程访问特洛伊木马，其功能可帮助检索额外的有效载荷，并将信息过滤回其指挥与控制（C2）服务器。

渗透期间部署的其他工具包括Mimikatz凭证转储实用程序、用于执行内部侦察的NBTScan、用于远程命令执行的WMIExec，以及用于在受感染主机上启动自定义加载程序的VLC Media Player。

戈尔曼说：“这场针对这么多行业受害者的运动似乎表明，该组织现在对更广泛的目标感兴趣”。

“该组织最有可能出于间谍目的对目标组织；非营利组织和政府组织，包括那些参与宗教和教育活动的组织。我们在受害者机器上看到的那种活动，以及过去的蝉类活动，也都表明这场运动背后的动机是间谍活动”。