針對美國公司長達 4 個月的網路攻擊暴露了與中國駭客有關的高階威脅

最近發現的一次網路攻擊揭露了針對美國主要組織的高度複雜的行動，有證據表明來自中國的國家支持的駭客。博通旗下的賽門鐵克在一份報告中詳細介紹了這一令人震驚的入侵，今年至少持續了四個月，從四月開始，甚至可能更早。這次攻擊的範圍和方法凸顯了網路對手不斷變化的策略以及全球關鍵組織面臨的風險。

複雜的策略和工具凸顯高階威脅

賽門鐵克於 2024 年 4 月 11 日首次發現了漏洞跡象，並發現攻擊持續到了 8 月。在此期間，攻擊者在受害者的網路中橫向移動，損害了許多機器。一些目標系統是 Microsoft Exchange Server，此舉表明攻擊者試圖透過存取敏感電子郵件資料來收集情報。

活動期間部署的滲透工具進一步證實從受害者的基礎設施中提取了有價值的資訊。駭客結合使用開源工具和內建 Windows 實用程式來進一步實施攻擊。 FileZilla、Impacket 和 PSCP 等工具與野外技術一起部署，利用 Windows Management Instrumentation (WMI)、PsExec 和 PowerShell 來執行惡意命令並融入合法網路活動。

中國的角色和網路間諜技術的使用

儘管目標組織的名稱尚未披露，但其在中國的重要活動增加了人們對攻擊者與中國國家支持的組織有聯繫的懷疑。這次網路攻擊嚴重依賴 DLL 側面加載，這是中國駭客團隊的標誌性策略。洩漏中的文物與先前國家支持的行動「Crimson Palace」中觀察到的文物一致。此外，該組織先前曾於 2023 年成為 Daggerfly（也稱為 Bronze Highland、Evasive Panda 和 StormBamboo）組織的攻擊目標。

對網路安全的更廣泛影響

這次違規行為反映了中國網路攻擊生態系統內更廣泛的趨勢，Orange Cyberdefense 對此進行了詳細分析。中國國家資助的行動經常模糊公共和私人實體之間的界限，利用大學進行高級研究並僱用承包商來執行攻擊。虛假公司經常由與中國軍方或情報部門有聯繫的個人建立，目的是掩蓋歸屬、採購數位基礎設施以及在不引起懷疑的情況下招募駭客。

這些發現強調了中國網路行動的持久性和先進性。針對這家美國公司的活動清楚地提醒人們不斷變化的威脅情況以及強大的網路安全防禦對於保護關鍵資產免受民族國家對手攻擊的重要性。