扫码关注我们
东南亚和澳大利亚组织被傲琴龙黑客攻击十年

据报道,自2013年以来,一名被称为“傲琴龙”的新进阶持续性渗透攻击演员与几起针对政府、教育和电信实体的黑客攻击有关,这些攻击主要发生在东南亚和澳大利亚。

威胁研究人员哨兵实验室(SentinelLabs)周四发表了一篇博客文章,描述了这些长达十年的事件。

哨兵一号的威胁情报研究员乔伊 · 陈(Joey Chen)写道: “我们估计,威胁行为者的主要关注点是间谍活动,与澳大利亚、柬埔寨、香港、新加坡和越南的目标有关。”。

根据哨兵实验室的说法,傲琴龙很大程度上依赖于使用文件诱饵来感染用户。

“我们从这些诱饵文件中发现了三个有趣的地方,”陈。

“首先,大多数诱饵内容的主题都是那些对亚太地区政治事务感兴趣的目标。第二,行为者利用以色情主题为主题的诱惑文件来诱惑目标。第三,在许多情况下,这些文件并非针对某个国家,而是针对整个东南亚。”

从技术角度来看,恶意软件利用文档漏洞,欺骗用户打开一个武器化的 Word 文档来安装后门。或者,用户被诱骗双击一个在受害者主机上执行恶意软件的假防病毒程序。

该恶意软件还经常使用 USB 快捷方式将自己安装到外部设备上,并感染其他目标。一旦进入系统,恶意软件已被观察到通过两个主要的后门操作。

“归因于 Aoqin Dragon 的攻击通常会掉落两个后门中的一个,Mongall 和一个改进版的开源 Heyoka 项目,”陈解释说。

在归属方面,哨兵实验室(Sentinel Labs)表示,他们发现了几件文物,将该活动与一个讲中文的 APT 组织联系起来,包括基础设施重叠和2014年针对缅甸总统网站的黑客攻击。

陈表示: “针对敖琴龙的行动与中国政府的政治利益密切相关。”。

“考虑到这种长期的努力和过去几年持续不断的有针对性的攻击,我们认为威胁者的动机是以间谍活动为导向的。”

哨兵实验室的报告最后进一步警告了全球网络安全问题。

“我们已经观察到,为了不被发现,傲琴龙多次进化 TTP。我们充分期待着傲琴龙将继续进行间谍活动。此外,我们估计,他们很可能还会继续提升自己的谍报技术,寻找新的方法来躲避侦查,并在目标网络中停留更长时间。”