美国公司遭受长达四个月的网络攻击，揭露与中国黑客有关的高级威胁

最近发现的一次网络攻击揭露了一项针对美国一家大型组织的高精尖行动，有证据表明是中国政府支持的黑客所为。博通旗下赛门铁克在一份报告中详细介绍了这次令人震惊的入侵，该入侵活动今年至少持续了四个月，始于 4 月，甚至可能更早。此次攻击的范围和方法突显了网络对手不断演变的策略以及全球关键组织面临的风险。

复杂的策略和工具凸显高级威胁

赛门铁克于 2024 年 4 月 11 日首次发现了入侵迹象，并发现攻击持续到 8 月。在此期间，攻击者在受害者的网络中横向移动，入侵了多台机器。一些目标系统是 Microsoft Exchange Server，此举表明攻击者试图通过访问敏感的电子邮件数据来收集情报。

活动期间部署的渗透工具进一步证实，有价值的信息已从受害者的基础设施中提取出来。黑客结合使用开源工具和内置 Windows 实用程序来进一步攻击。FileZilla、Impacket 和 PSCP 等工具与 live-the-land 技术一起部署，利用 Windows 管理规范 (WMI)、PsExec 和 PowerShell 执行恶意命令并融入合法网络活动。

中国的作用及其网络间谍技术的使用

虽然目标组织的名称尚未披露，但其在中国的大量业务增加了人们对攻击者与中国政府支持的组织有联系的怀疑。这次网络攻击严重依赖 DLL 侧载，这是中国黑客团队的标志性策略。此次入侵的证据与之前政府支持的行动“Crimson Palace”中观察到的证据一致。此外，该组织曾在 2023 年遭到一个名为 Daggerfly 的组织攻击，该组织也被称为 Bronze Highland、Evasive Panda 和 StormBamboo。

对网络安全的广泛影响

此次泄密事件反映了中国网络攻击生态系统的广泛趋势，Orange Cyberdefense 对此进行了详细分析。中国政府支持的行动经常模糊公共和私人实体之间的界限，利用大学进行高级研究，并雇用承包商实施攻击。与中国军方或情报部门有联系的个人经常建立虚假公司，以掩盖身份、采购数字基础设施并在不引起怀疑的情况下招募黑客。

这些发现凸显了中国网络行动的持久性和先进性。针对这家美国公司的行动清楚地提醒我们，威胁形势正在不断演变，强大的网络安全防御对于保护关键资产免受国家对手攻击至关重要。