详细内容或原文请订阅后点击阅览
Google发现Web Hijack计划
怀疑这是北京支持的台风和/或熊猫船员,针对亚洲的外交官,在观察网络交通劫持运动后,警告客户涉嫌涉嫌国家支持的攻击。
来源:The Register _恶意软件Google在观察Web流量劫持活动后,警告客户涉嫌以国家支持的攻击。
在Google威胁情报集团高级安全工程师Patrick Whitsell周一的一篇文章中解释,该公司的Infosec侦探“发现了被俘虏的门户网站劫持的证据,用于将伪装成Adobe Plugin更新的恶意软件提供给目标实体。”
发布圈养门户是登录页面 - 就像连接到公共Wi-Fi或某些公司网络时看到的那种内容一样。 Google发现攻击者在目标网络上妥协了边缘设备,并使用这些计算机毒物圈养门户,因此他们将其重定向到假页,该页面建议用户下载必要的安全更新。
实际上,更新是首先检索MSI软件包的恶意软件,然后安装其他称为CanonStager的恶意软件,该恶意软件部署了SOGU.SEC Backdoor,该Backdoor连接到命令和控制服务器。
Google说,狡猾的更新 - 一个名为adobeplugins.exe的文件 - 由名为Chengdu Nuoxin Times Technology Co. Ltd.的服装签署,该公司使用了有效的GlobalSign证书。
Google说,它正在跟踪25个已知的恶意软件样本,该样本签署了签发给成都Nuoxin的证书,并表示这些证书“在多个PRC-Nexus活动群集中使用”。
巧克力工厂认为这项运动是一位被称为UNC6384的中国威胁演员的作品,并与另一个名为Temp.hex的团体相关联 - 又名Mustang Panda/Silk Typhoon/Hafnium。
Google在2025年3月发现了这项活动,并非常有信心的北京支持它,以至于它向所有Gmail和工作空间用户发送了政府支持的攻击者警报。
Google所说,该运动“针对东南亚和全球其他实体的针对外交官”,其中一些客户大概是政府机构。
因此,网络广告巨头表明,该运动“很可能支持与中国人民共和国的战略利益保持一致的网络间谍活动。”