井底圈小蛙
与您共同关注科技圈

美“专家”称Sidewalk恶意软件攻击为“中国黑客组织”Grayfly所为

最近发现的一个以前没有记录在案的后门,其目标是一家总部位于美国的不知名的计算机零售公司。美专家称:“该后门与一个名为Grayfly的中国长期间谍活动有关”。但是,我们都知道,一般针对美国的攻击美专家都会解读为中国黑客所为的。

8月下旬,斯洛伐克网络安全公司ESET披露了一种名为SideWalk的植入程序的详细信息,该植入程序旨在加载从攻击者控制的服务器发送的任意插件,收集有关在受感染系统中运行的进程的信息,并将结果传输回远程服务器.

这家网络安全公司将此次入侵归咎于它跟踪的一个名为SparklingGoblin的组织,该攻击者据信与Winnti(又名APT41)恶意软件家族有关。

但博通赛门铁克研究人员发表的最新研究将SideWalk后门锁定在“与中国有联系”的黑客组织上,指出该恶意软件与旧版Crosswalk恶意软件重叠,最新的Grayfly黑客活动专门针对墨西哥、台湾、美国和越南的一些企业。

赛门铁克的威胁猎手团队在周四发表的一篇文章中说:“最近这次活动的一个特点是,大量目标都在电信部门。该组织还攻击了IT、媒体和金融领域的企业。”

已知至少自2017年3月以来一直活跃,Grayfly作为“APT41的间谍机构”而臭名昭著,该机构通过利用面向公众的MicrosoftExchange或MySQLWeb服务器来安装Webshell以进行初始入侵,以针对各种行业以追踪敏感数据而臭名昭著,然后在网络中横向传播并安装额外的后门,使威胁行为者能够保持远程访问并泄露收集的信息。

在赛门铁克观察到的一个实例中,攻击者的恶意网络活动开始以可访问互联网的MicrosoftExchange服务器为目标,以在网络中获得初步立足点。随后执行一串PowerShell命令来安装一个身份不明的webshell,最终导致部署Sidewalk后门和Mimikatz凭证转储工具的自定义变体,该工具已在之前的Grayfly攻击中使用。

该公司指出,在此之后没有观察到后续活动。

研究人员表示:“Grayfly是一个有能力的参与者,可能会继续对亚洲和欧洲各行各业的组织构成风险,包括电信、金融和媒体。这个组织很可能会继续开发和改进其定制工具,以增强规避策略,同时使用公共工具和webshell等商业工具来协助他们的攻击。”

圈小蛙现已开通Telegram。单击此处加入我们的频道 (@quanxiaowa)并随时了解最新科技圈动态!

除特别注明外,本站所有文章均系根据各大境内外消息渠道原创,转载请注明出处。
文章名称:《美“专家”称Sidewalk恶意软件攻击为“中国黑客组织”Grayfly所为》
文章链接:https://www.qxwa.com/us-experts-say-sidewalk-malware-attack-was-carried-out-by-chinese-hacker-group-grayfly.html
分享到: 生成海报

评论 抢沙发

  • QQ号
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

科技圈动态,尽在圈小蛙

联系我们关注我们