RedGolf集团利用KEYPLUG后门攻击Windows和Linux系统

被追踪为RedGolf的威胁活动组织被归因于使用名为KEYPLUG的自定义Windows和Linux后门。

Recorded Future告诉The Hacker News：“RedGolf是一个特别多产的中国国家支持的威胁组织，可能多年来一直活跃于全球范围内的广泛行业。”

“该组织已展示出快速将新报告的漏洞（例如Log4Shell和ProxyLogon）武器化的能力，并且拥有开发和使用大量自定义恶意软件系列的历史。”

在2021年5月至2022年2月期间针对多个美国州政府网络的攻击中，谷歌旗下的Manidant于2022年3月首次披露了中国威胁行为者对KEYPLUG的使用。

然后在2022年10月，Malwarebytes详细介绍了8月初针对斯里兰卡政府实体的一组单独攻击，这些攻击利用一种名为DBoxAgent的新型植入物来部署KEYPLUG。

这两个活动都归因于Winnti（又名APT41、Barium、Bronze Atlas 或Wicked Panda），Recorded Future称其与 RedGolf“密切重叠”。

Recorded Future说：“我们没有观察到具体的受害者情况，作为最新突出的RedGolf活动的一部分。”“然而，由于与之前报道的网络间谍活动重叠，我们认为这项活动很可能是出于情报目的而不是经济利益。”

这家网络安全公司除了检测到该黑客组织至少在2021年至2023年期间使用的一组KEYPLUG样本和操作基础设施（代号GhostWolf）外，还注意到它使用了Cobalt Strike和PlugX等其他工具。

GhostWolf基础设施本身包含42个IP地址，用作KEYPLUG命令和控制。还观察到敌对集体利用传统注册域和动态DNS域的混合，通常具有技术主题，作为Cobalt Strike和PlugX的通信点。

该公司表示：“RedGolf将继续展示高运营节奏，并迅速将面向外部的公司设备（VPN、防火墙、邮件服务器等）中的漏洞武器化，以获得对目标网络的初始访问权限。”

“此外，该组织可能会继续采用新的自定义恶意软件系列来添加到现有工具中，例如KEYPLUG。”

为了抵御RedGolf攻击，建议组织定期应用补丁，监控对面向外部的网络设备的访问，跟踪和阻止已识别的命令和控制基础设施，并配置入侵检测或预防系统以监控恶意软件检测。

Trend Micro透露，自 2022 年以来，它发现了 200 多名Mustang Panda（又名Earth Preta）攻击的受害者，这是由各个子组织策划的影响​​深远的网络间谍活动的一部分。

大多数网络攻击发生在亚洲，其次是非洲、欧洲、中东、大洋洲、北美洲和南美洲。

趋势科技表示：“有强烈迹象表明，传统情报贸易和网络收集工作相互交织，表明网络间谍活动高度协调和复杂。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5507.html