中国网路间谍行动的最新进展

文章重点

• 中国APT27（又称铁虎）开始使用新版本的Linux SysUpdate远程存取木马进行攻击。
• 此次攻击针对多个目标，包括一家位于菲律宾的博彩公司。
• SysUpdate的Linux版和Windows版具有相同的文件处理功能和网路加密密钥。
• Linux版本新增了DNS隧道功能，能绕过防火墙和网路安全工具。

根据的报导，中国的网路间谍行动APT27（或称为铁虎）近期开始在其攻击中利用新版本的LinuxSysUpdate远程存取木马。趋势科技的研究人员揭示，APT27的最新行动涉及对多个目标分发Linux和Windows版本的SysUpdate，其中包括一家位于菲律宾的博彩公司。

其实，SysUpdate的Linux和Windows版本具有相同的文件处理功能和网路加密密钥。然而，研究人员指出，攻击者在Linux版本的木马中增加了DNS隧道功能，这使得他们能够绕过防火墙和网路安全工具的检测。APT27被认为利用即时通讯应用作为诱饵，以便促进初步的感染载荷，而攻击的第二阶段则在系统重新启动后启动，以加载主要的SysUpdate载荷。

报告还提到，随后的侧载阶段涉及APT27使用Wazuh签名的可执行文件，以便与目标环境融为一体。这种策略展示了APT27在进行网路攻击时的高超技巧及其持续演变的能力。

在当前的网路安全环境中，组织需要提高防范意识，定期更新安全措施，以应对不断变化的威胁。面对如APT27这样的高度组织化的攻击者，采取先进的防御技术和策略至关重要。