详细内容或原文请订阅后点击阅览
中国黑客隐藏在“盲点”:ORB作为新的伪装手段
混合代理网络使防御者变得毫无用处,而攻击者则变得隐形。
来源:安全实验室新闻频道混合代理网络使防御者变得毫无用处,而攻击者则变得隐形。
中国黑客越来越多地利用 VPS 服务器和被黑客入侵的在线设备组成的庞大代理网络进行间谍活动。
VPS此类代理网络由操作中继盒 (ORB) 组成,并由独立的网络犯罪分子管理,这些犯罪分子为政府黑客提供访问权限。 ORB 类似于僵尸网络,但可以是租用的 VPS 和受感染的 IoT 设备的混合体。
ORBORB3/SPACEHOP 网络
ORB3/SPACEHOP 网络Mandiant 监控多个 ORB 网络,其中两个网络被中国 APT 组织积极使用。其中一个名为 ORB3/SPACEHOP 的网络被 APT5 和 APT15 组织积极用于侦察和利用漏洞。
曼迪安特 曲目SPACEHOP 于 2022 年 12 月被用来利用 Citrix ADC 和 Gateway 中的 CVE-2022-27518 漏洞,NSA 将其与 APT5 组织关联起来。 Mandiant 声称 SPACEHOP 使用位于香港或中国的中继服务器,并安装开放的 C2 基础设施来管理节点。
Citrix ADC 和网关中的 CVE-2022-27518, C2ORB3/SPACEHOP 网络
网络 ORB3/SPACEHOPORB2/FLORAHOX 网络
网络 ORB2/FLORAHOXORB2/FLORAHOX 网络是一个混合网络,由 C2 服务器、受损的连接设备(路由器和 IoT)以及通过 TOR 和多个受损路由器传递流量的 VPS 组成。研究人员认为,该网络被各种中国组织用于间谍活动,以掩盖流量来源。
该网络由多个子网组成,其中包含受 FLOWERWATER 和其他基于路由器的有效负载危害的设备。尽管各种威胁组织都在使用 ORB2/FLORAHOX,但 Mandiant 报告称,中国 APT31/Zirconium 的活动集中于知识产权盗窃。
ORB2/FLORAHOX 网络