详细内容或原文请订阅后点击阅览
Google GTIG 破坏了与中国相关的 APT UNC2814,阻止了对 42 个国家/地区 53 个组织的攻击
Google 和合作伙伴扰乱了 UNC2814,这是一个疑似与中国有关的组织,对 42 个国家的 53 个组织进行了黑客攻击。谷歌与行业合作伙伴破坏了 UNC2814 的基础设施,该组织涉嫌与中国有关的网络间谍组织,破坏了 42 个国家的至少 53 个组织。该组织至少自 2017 年以来一直活跃,并被发现以政府和 [...]
来源:Security Affairs _恶意软件Google GTIG 破坏了与中国相关的 APT UNC2814,阻止了对 42 个国家/地区 53 个组织的攻击
Google 和合作伙伴扰乱了 UNC2814,这是一个疑似与中国有关的组织,对 42 个国家的 53 个组织进行了黑客攻击。
Google 与行业合作伙伴破坏了 UNC2814 的基础设施,该组织疑似与中国有关的网络间谍组织,入侵了 42 个国家的至少 53 个组织。该组织至少自 2017 年起就一直活跃,被发现以非洲、亚洲和美洲的政府和全球电信公司为目标,这使其成为一个高度多产且难以捉摸的威胁。 UNC2814 可能与其他 20 多个国家的其他感染有关。
“上周,谷歌威胁情报小组 (GTIG)、Mandiant 及其合作伙伴采取行动,挫败了针对四大洲数十个国家的电信和政府组织的全球间谍活动。”GTIG 的报告中写道。 “威胁行为者 UNC2814 是一个疑似中华人民共和国 (PRC) 网络间谍组织,GTIG 自 2017 年以来一直在追踪。”
UNC2814 使用对 SaaS 应用程序的 API 调用作为命令和控制 (C2) 基础设施,将恶意流量伪装成合法活动。该组织没有利用产品缺陷,而是通过名为 GRIDTIDE 的新颖后门利用合法的 Google Sheets API 功能。
该组织的行动针对的受害者不同于其他活动,例如“盐台风”,使用独特的技术和 TTP。
Mandiant 使用 Google SecOps 在 CentOS 服务器上检测到可疑活动,其中二进制文件 /var/tmp/xapt 启动了 root shell 并运行 id 来确认 root 访问权限,显示攻击者已升级了权限。研究人员报告称,该有效负载模仿了传统的 Debian 工具以避免检测。
后门需要主机上的 16 字节加密密钥来解密其 Google Drive 配置,其中包含服务帐户凭据、电子表格 ID 和私钥。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon