详细内容或原文请订阅后点击阅览
中国的墨龙隐藏在欧洲政府网络中
错误配置的服务器已经出现,零日后中国间谍组织 Ink Dragon 已将其窥探活动扩展到欧洲政府网络,利用受损的服务器为未来的操作创建非法中继节点。
来源:The Register _恶意软件中国间谍组织“墨龙”已将其窥探活动扩展到欧洲政府网络,利用受感染的服务器为未来的行动创建非法中继节点。
Check Point Software 集团经理 Eli Smadja 告诉 The Register,该活动已造成“数十名受害者”。这包括欧洲、亚洲和非洲的政府实体和电信组织。
“虽然我们无法透露受影响实体的身份或具体国家/地区,但我们观察到该行为者在 2025 年下半年开始基于中继的操作,随后随着时间的推移,每个中继的受害者覆盖范围逐渐扩大,”Smadja 说。
这些攻击首先从 Ink Dragon 探测安全漏洞(例如配置错误的 Microsoft IIS 和 SharePoint 服务器)开始,以获取对受害者环境的访问权限。与滥用零日漏洞或其他备受瞩目的漏洞相反,这种策略可以帮助攻击者在雷达下飞行并减少被发现的机会。
然后,Ink Dragon 获取凭据并使用现有帐户渗透目标,这些策略有助于该团伙融入正常的网络流量。
“这一阶段的典型特征是低噪音,并通过共享相同凭证或管理模式的基础设施进行传播,”Check Point 的研究人员在周二的博客中表示。
一旦 Ink Dragon 发现具有域级访问权限的帐户,间谍就会开始跨高价值系统建立长期访问权限,安装后门和植入程序来存储凭据和其他敏感数据。
除了新目标和中继节点活动之外,Check Point 表示网络间谍还更新了 FinalDraft 后门,使其与常见的微软云活动融为一体,将其命令流量隐藏在邮箱草稿中。
新版本还允许恶意软件在工作时间检查 - 以免引起不必要的下班后注意 - 并且可以更有效地以最小的噪音传输大文件。