与中国相关的APT将政府和金融公司添加到目标列表 媒体

中国黑客组织扩展攻击范围至金融与政府领域

文章重点

根据Palo Alto Networks Unit 42的研究，GALLIUM这一疑似中国背景的黑客组织，正在扩大其攻击范围，将目标扩展至金融和政府领域，并使用一种新的恶意软体工具。

GALLIUM目前正在利用名为PingPull的新型远端存取木马工具，该工具是用Visual C编写的，并利用三种不同的网路传输协议来识别被攻击的系统并与指挥与控制基础设施进行通讯：包括互联网控制消息协议ICMP、传输控制协议TCP，以及超文本传输协议HTTP和HTTPS。此外，它还运用ICMP隧道技术来隐藏这些通讯，以避开网路防御。

GALLIUM对东南亚、欧洲和非洲的通信、金融和政府组织构成持续威胁。过去一年，我们已识别出影响九个国家的针对性攻击。

根据Unit 42的研究报告，这一发展表明，GALLIUM组织的行动已从2018年和2019年的操作模式转变过来，当时它主要依靠公开可获取的漏洞来攻击未修补系统，展开了针对全球通信公司的攻击活动。

在2021年9月，研究人员从越南的一家受害组织中获取的压缩档样本中发现，该恶意软体呼叫了用于多个子域名的相同证书的域名。利用这一立足点，研究人员找到了更多样本，并绘制了其相应的数位基础设施，识别出至少170个与该活动相关的IP地址，追溯至2020年底。

根据公司资料，美国国家安全局的网路安全协作中心和澳大利亚网络安全中心均对该调查结果进行了贡献。

在过去的一年里，GALLIUM组织的攻击对象已扩展至包括金融机构和政府实体。期间，我们识别出GALLIUM基础设施与阿富汗、澳大利亚、比利时、柬埔寨、马来西亚、莫桑比克、菲律宾、俄罗斯和越南等国家之间的多个联系。