专家将人行道恶意软件攻击与Grayfly中国黑客组织联系起来

一个之前没有记录的后门最近被发现针对一家总部位于美国的未具名电脑零售公司，该后门与一个名为Grayfly的长期中国间谍行动有关。

8月下旬，斯洛伐克网络安全公司ESET披露了一种名为“人行道”的植入物的详细信息，该植入物旨在加载攻击者控制的服务器发送的任意插件，收集有关受损系统中运行进程的信息，并将结果传输回远程服务器。

这家网络安全公司将此次入侵归咎于其追踪的一个名叫SparklingGoblin的组织，该组织被认为与Winnti（又名APT41）恶意软件家族有关。

但博通公司赛门铁克（Symantec）的研究人员发布的最新研究将人行道后门锁定在与中国有关的间谍组织上，指出该恶意软件与较旧的Crosswalk恶意软件重叠，最新的灰蝇黑客活动挑出了墨西哥、台湾、美国和越南的一些组织。

赛门铁克的威胁猎手团队在周四发布的一篇文章中表示：“最近这场运动的一个特点是，大量目标都在电信行业。该组织还攻击了IT、媒体和金融行业的组织。”。

Grayfly至少从2017年3月起就活跃起来，它是“APT41的间谍部门”，以利用面向公众的Microsoft Exchange或MySQL web服务器安装网络外壳进行初始入侵，以各种行业为目标追求敏感数据而臭名昭著，在横向传播到整个网络之前，安装额外的后门，使威胁参与者能够保持远程访问并过滤积累的信息。

在赛门铁克观察到的一个例子中，对手的恶意网络活动始于瞄准一个可通过互联网访问的Microsoft Exchange服务器，以获得网络的初始立足点。随后，执行一系列PowerShell命令来安装一个身份不明的web shell，最终导致人行道后门的部署，以及在以前的Grayfly攻击中使用的Mimikatz凭证转储工具的自定义变体。

该公司指出，没有观察到超过这一点的后续活动。

研究人员说：“灰蝇是一个有能力的参与者，可能会继续对亚洲和欧洲的多个行业的组织构成风险，包括电信、金融和媒体。”。“该组织很可能会继续开发和改进其自定义工具，以增强规避策略，同时使用公开的漏洞攻击和网络外壳等商品工具来协助其攻击。”