中国黑客利用流行的杀毒产品攻击电信行业

据观察，一个与中国结盟的网络间谍组织用ShadowPad和PlugX等恶意软件袭击了中亚的电信部门。

网络安全公司SentinelOne将入侵事件与它追踪的一个名为“Moshen Dragon”的演员联系在一起，该集团与另一个被称为“游牧熊猫”（又名红狐步）的威胁集团之间存在战术重叠。

《哨兵》的Joey Chen说：“PlugX和ShadowPad在讲汉语的威胁演员中有着悠久的使用历史，主要用于间谍活动。”。“这些工具具有灵活的模块化功能，并通过外壳代码进行编译，以轻松绕过传统的端点保护产品。”

2015年，被称为“中国间谍活动中私人出售恶意软件的杰作”的ShadowPad成为了PlugX的继任者，尽管后者的变体作为与中国威胁行为者相关的不同活动的一部分不断涌现。

尽管已知至少自2017年以来被政府赞助的黑客组织Bronze Atlas（又名APT41、Bathy或Winnti）部署，但越来越多与中国相关的威胁行为体加入了这场斗争。

今年早些时候，Secureworks将不同的ShadowPad活动集群归因于中国民族国家集团，这些集团与国家安全部（MSS）民间情报局和中国人民解放军（PLA）合作。

SentinelOne的最新调查结果与Trellix在3月底的一份报告相吻合，该报告揭示了一场针对南亚电信和国防部门的红狐小跑（RedFoxtrot）攻击活动，该攻击使用了一种名为Talisman的新型PlugX恶意软件。

Moshen Dragon的TTP涉及滥用BitDefender、Kaspersky、McAfee、Symantec和Trend Micro的合法防病毒软件，通过一种称为DLL搜索顺序劫持的技术，将ShadowPad和Talisman加载到受损系统上。

在随后的步骤中，被劫持的DLL用于解密和加载与防病毒可执行文件位于同一文件夹中的最终ShadowPad或PlugX负载。持久性是通过创建计划任务或服务来实现的。

尽管存在安全产品被劫持的情况，该集团采取的其他网络安全策略包括使用已知的黑客工具和红队脚本，以方便凭证盗窃、横向移动和数据过滤。最初的访问途径尚不清楚。

陈说：“一旦攻击者在组织中站稳脚跟，他们就会利用网络中的Impacket进行横向移动，将被动后门插入受害者环境，获取尽可能多的凭据以确保无限制访问，并专注于数据过滤。”。