微软查获中国黑客使用的42个恶意域名

微软周一宣布，根据美国弗吉尼亚州联邦法院发布的法律授权，查封了一家总部位于中国的网络间谍组织使用的42个域名，该组织将目光投向了美国和其他28个国家的组织

雷德蒙德公司将这些恶意活动归咎于一个名为Nickel的组织，以及更广泛的网络安全行业，其绰号为APT15、青铜宫、科昌、海市蜃楼、顽皮龙和Vixen熊猫。据信，高级持续性威胁（APT）参与者至少自2012年以来一直活跃

“Nickel的目标是私营和公共部门的组织，包括北美、中美洲、南美、加勒比、欧洲和非洲的外交组织和外交部，”微软负责客户安全和信任的公司副总裁汤姆·伯特说。“镍业的目标与中国的地缘政治利益之间往往存在关联。”

作为2019年9月数字间谍活动的一部分，流氓基础设施使黑客团队能够长期访问受损的机器，并执行针对未具名政府机构、智库和人权组织的情报收集攻击

微软将网络攻击描述为“高度复杂”，使用了多种技术，包括破坏远程访问服务，利用未打补丁的VPN设备以及Exchange Server和SharePoint系统中的漏洞“插入难以检测的恶意软件，以方便入侵、监视和数据盗窃”

在获得初步立足点后，Nickel被发现部署凭证转储工具和盗窃者，如Mimikatz和WDigest，以侵入受害者账户，然后，交付定制恶意软件，使参与者能够在受害者网络上长时间保持持久性，并定期进行文件过滤、执行任意外壳代码，以及使用泄露的凭据从Microsoft 365帐户收集电子邮件

用于指挥和控制的多个后门系列被追踪为Neoichor、Leeson、NumbIdea、NullItch和Rokum

最近一波攻击增加了APT15集团近年来发起的一系列监视软件活动。2020年7月，移动安全公司Lookout披露了四款特洛伊木马合法应用程序—；名为SilkBean、DoubleAgent、CarbonSteal和GoldenEagle—；该计划以维吾尔族和藏族社区为目标，旨在收集个人用户数据，并将其传输到对手操作的指挥和控制服务器

“随着中国在世界各地的影响力不断增长，国家与更多国家建立双边关系，并在支持中国的“一带一路”倡议方面展开伙伴关系，我们评估中国的威胁行动者将继续瞄准政府、外交和非政府组织部门的客户，以获得新的见解，可能在PU中。R是经济间谍还是传统的情报收集目标，”微软说