长达十年的攻击：UTG-Q-008牢牢掌握了教育和科学

错综复杂的黑客网络已经包围了世界各地数百个组织。

奇安信的安全研究人员最近发现了一项针对全球科学和教育机构的长期网络间谍活动，名为“APT Operation Veles”。主要嫌疑人是黑客组织 UTG-Q-008，该组织专门利用广泛的僵尸网络对 Linux 平台进行攻击。

奇安信 展开

经过一年的密集监控，发现了使用 UTG-Q-008 僵尸网络网络资源窃取科学和教育机构数据的证据。该组织大约 70% 的基础设施由中间服务器组成，这些服务器随着每次新的攻击而变化。

UTG-Q-008 攻击的特点是强度高，并且使用了过去十年中一直活跃的域，这使得它们比其他已知的 APT 组织更加持久。

UTG-Q-008使用了多个攻击对象列表，其中之一包括中国境内的五千多个网段。

大多数受控节点位于中国，紧随其后的是美国。黑客的服务器通常以 TAR 格式存储攻击组件，使用中间服务器加载和存储数据。其中一个用于攻击的域名在中国注册，已经运行了14年。

为了访问服务器，UTG-Q-008 使用通过 wget 或 Curl 从中间服务器下载的 Nanobot 组件。这些组件允许黑客启动反向 shell 会话或 SSH 隧道来下载其他模块。

UTG-Q-008 使用各种类型的内部扫描仪来检查网络上的开放端口。扫描完成后，它们会传输结果以在网络上进一步移动。

如果需要进入网络，攻击者会使用FRP反向代理，这使得他们能够利用僵尸网络网络的外部计算能力来攻击重要的内部服务器。