被追蹤爲 RedGolf 的 CN 國家支持的威脅活動組織被歸因於使用名爲 KEYPLUG 的自定義 Windows 和 Linux 後門。
Recorded Future 告訴 The Hacker News:“RedGolf 是一個特別多產的CN國家支持的威脅組織,可能多年來一直活躍於全球範圍內的廣泛行業。”
“該組織已經展示了快速將新報告的漏洞(例如 Log4Shell 和 ProxyLogon)武器化的能力,並且具有開發和使用大量自定義惡意軟件系列的歷史。”
在 2021 年 5 月至 2022 年 2 月期間針對多個美國州政府網絡的攻擊中,谷歌旗下的 Manidant 於 2022 年 3 月首次披露了CN威脅行爲者對 KEYPLUG 的使用。
然後在 2022 年 10 月,Malwarebytes 詳細介紹了 8 月初針對斯里蘭卡政府實體的一組單獨攻擊,這些攻擊利用一種名爲 DBoxAgent 的新型植入物來部署 KEYPLUG。
這兩個活動都歸因於 Winnti(又名 APT41、Barium、Bronze Atlas 或 Wicked Panda),Recorded Future 稱其與 RedGolf“密切重疊”。
Recorded Future 表示:“我們沒有觀察到具體的受害者情況,作爲最新突出的 RedGolf 活動的一部分。” “然而,由於與之前報道的網絡間諜活動重疊,我們認爲這項活動很可能是出於情報目的而不是經濟利益。”
這家網絡安全公司除了檢測到該黑客組織至少在 2021 年至 2023 年期間使用的一組 KEYPLUG 樣本和運營基礎設施(代號 GhostWolf)外,還注意到它使用了 Cobalt Strike 和 PlugX 等其他工具。
GhostWolf 基礎設施本身由 42 個 IP 地址組成,用作 KEYPLUG 命令和控制。 還觀察到敵對集體利用傳統註冊域和動態 DNS 域的混合,通常具有技術主題,作爲 Cobalt Strike 和 PlugX 的通信點。
該公司表示:“RedGolf 將繼續展示高運營節奏,並迅速將面向外部的公司設備(VPN、防火牆、郵件服務器等)中的漏洞武器化,以獲得對目標網絡的初始訪問權限。”
“此外,該組織可能會繼續採用新的自定義惡意軟件系列來添加到現有工具中,例如 KEYPLUG。”
爲了抵禦 RedGolf 攻擊,建議組織定期應用補丁,監控對面向外部的網絡設備的訪問,跟蹤和阻止已識別的命令和控制基礎設施,並配置入侵檢測或預防系統以監控惡意軟件檢測。
Trend Micro 透露,自 2022 年以來,它發現了 200 多名 Mustang Panda(又名 Earth Preta)攻擊的受害者,這是由各個子組織策劃的影響深遠的網絡間諜活動的一部分。
大多數網絡攻擊發生在亞洲,其次是非洲、歐洲、中東、大洋洲、北美洲和南美洲。
趨勢科技表示:“有強烈跡象表明,傳統情報貿易和網絡收集工作相互交織,表明網絡間諜活動高度協調和複雜。”