最近发现的一个以前没有记录在案的后门,其目标是一家总部位于美国的不知名的计算机零售公司。美专家称:“该后门与一个名为Grayfly的中国长期间谍活动有关”。但是,我们都知道,一般针对美国的攻击美专家都会解读为中国黑客所为的。
8月下旬,斯洛伐克网络安全公司ESET披露了一种名为SideWalk的植入程序的详细信息,该植入程序旨在加载从攻击者控制的服务器发送的任意插件,收集有关在受感染系统中运行的进程的信息,并将结果传输回远程服务器.
这家网络安全公司将此次入侵归咎于它跟踪的一个名为SparklingGoblin的组织,该攻击者据信与Winnti(又名APT41)恶意软件家族有关。
但博通赛门铁克研究人员发表的最新研究将SideWalk后门锁定在“与中国有联系”的黑客组织上,指出该恶意软件与旧版Crosswalk恶意软件重叠,最新的Grayfly黑客活动专门针对墨西哥、台湾、美国和越南的一些企业。
赛门铁克的威胁猎手团队在周四发表的一篇文章中说:“最近这次活动的一个特点是,大量目标都在电信部门。该组织还攻击了IT、媒体和金融领域的企业。”
已知至少自2017年3月以来一直活跃,Grayfly作为“APT41的间谍机构”而臭名昭著,该机构通过利用面向公众的MicrosoftExchange或MySQLWeb服务器来安装Webshell以进行初始入侵,以针对各种行业以追踪敏感数据而臭名昭著,然后在网络中横向传播并安装额外的后门,使威胁行为者能够保持远程访问并泄露收集的信息。
在赛门铁克观察到的一个实例中,攻击者的恶意网络活动开始以可访问互联网的MicrosoftExchange服务器为目标,以在网络中获得初步立足点。随后执行一串PowerShell命令来安装一个身份不明的webshell,最终导致部署Sidewalk后门和Mimikatz凭证转储工具的自定义变体,该工具已在之前的Grayfly攻击中使用。
该公司指出,在此之后没有观察到后续活动。
研究人员表示:“Grayfly是一个有能力的参与者,可能会继续对亚洲和欧洲各行各业的组织构成风险,包括电信、金融和媒体。这个组织很可能会继续开发和改进其定制工具,以增强规避策略,同时使用公共工具和webshell等商业工具来协助他们的攻击。”