中国APT集团利用中东诱饵针对卡塔尔
根据最新的研究发现,与中国有关联的网络间谍集团正在积极利用中东地区的地缘政治紧张局势,针对卡塔尔的组织进行攻击。
APT活动迅速适应现实世界事件
该活动几乎在中东地区紧张局势升级的当天就开始了,这表明高级持续性威胁(APT)集团能够迅速适应现实世界事件,以进行网络操作。
卡马罗龙利用PlugX后门进行攻击
Check Point的研究人员观察到,一个与中国有关联的威胁行为者,被称为卡马罗龙,试图在Operation Epic Fury启动后的第一天就部署PlugX后门,针对卡塔尔实体。
利用冲突主题诱饵部署PlugX
攻击者分发了一个伪装成照片的存档文件,这些照片显示了伊朗导弹袭击巴林附近美国军事基地造成的破坏。当受害者提取存档并执行包含的LNK快捷方式文件时,一个复杂的感染链被触发。
PlugX的感染链
PlugX是一个长期存在的模块化远程访问木马,自2008年以来就与多个中国APT集团有关联。其插件架构使攻击者在获得受感染机器的访问权限后能够执行多种间谍活动。
使用AI生成的诱饵部署Cobalt Strike
存档中包含低质量的AI生成内容,模仿官方以色列关于海湾能源基础设施攻击的通信。该活动部署了一种以前未见的基于Rust的恶意软件加载器,该加载器滥用nvdaHelperRemote.dll组件,这是开源NVDA屏幕阅读器的一部分。
中国APT集团的快速响应能力
这些活动展示了中国关联的网络间谍行为者如何迅速调整其操作以响应地缘政治发展。在地区紧张局势升级后立即针对卡塔尔表明了与正在进行的冲突有关的情报收集努力。
卡塔尔的战略价值
卡塔尔在能源市场和中东地区的外交中的战略作用,使其成为网络间谍活动的目标。
结论
Check Point的研究人员指出,该活动表明中国APT集团正在扩大其在海湾地区的运营重点,利用全球危机和新闻来快速制作具有说服力的网络攻击活动。