Sophos 是以創新安全解決方案對抗網路攻擊的全球領導者,今天發布《紅宮行動:新工具、新戰術、新目標》報告,詳細說明這一個持續了近兩年的中國網路間諜活動在東南亞的最新進展。Sophos X-Ops 在今年 6 月首次揭露了此一被其命名為「紅宮行動」(Crimson Palace) 的活動,並詳細揭露了他們在某備受矚目的政府組織內發現的三個中國國家級獨立行動群組:群組 Alpha、群組 Bravo 和群組 Charlie。在 2023 年 8 月短暫休兵後,Sophos X-Ops 注意到群組 Bravo 和群組 Charlie 的活動訊號再次增強,不僅出現在最初的目標內,也擴展至該地區的其他多個組織。
在調查這些重新出現的活動時,Sophos X-Ops 發現了一種新型鍵盤側錄程式,威脅捕獵團隊將其命名為 "Tattletale"。該程式能夠模仿已登入系統的使用者,並蒐集與密碼政策、安全設定、快取密碼、瀏覽器資訊,以及儲存資料相關的資訊。Sophos X-Ops 在報告中也指出,與第一波行動相比,群組 Charlie 使用開源工具的比例愈來愈高,而非他們在首波活動中使用的自訂惡意軟體。
Sophos 威脅捕獵與威脅情報總監 Paul Jaramillo 表示:「我們與這些攻擊者之間的攻防一直像是對弈的競賽。在行動初期,群組 Charlie 部署了各種自訂工具和惡意軟體。然而,我們成功『摧毀』了他們一開始的基礎架構,並阻斷指揮和控制 (C2) 工具,迫使他們改變作法。這是好事。但他們隨即改用了開源工具,顯示這些攻擊團體具備快速適應能力以及持久性,而這似乎也成為中國國家級攻擊團體的新興趨勢。安全社群均致力於保護我們最敏感的系統免受這些攻擊者的侵害,因此分享有關這種轉變的觀察非常重要。」
群組 Charlie 與中國威脅團體 Earth Longzhi 共用了戰術、技術和程序 (TTP),其最初於 2023 年 3 月至 8 月間在東南亞一個高階的政府組織中活動。在沉寂數週後,該群組於 2023 年 9 月重新出現,並持續活躍到至少 2024 年5 月。在這次行動的第二階段,群組 Charlie 專注於更深入第滲透網路、躲避端點偵測與回應 (EDR) 工具,以及蒐集更多情報。除了改用開源工具外,群組 Charlie 也開始使用群組 Alpha 和群組 Bravo 最初部署的戰術,這表明有一個上層組織指揮著這三個活動群組。Sophos X-Ops 已追蹤到群組 Charlie 持續在東南亞多個其他組織進行活動。
群組 Bravo 與中國威脅團體 Unfading Sea Haze 亦共用了戰術、技術和程序 (TTP),最初僅在 2023 年 3 月於目標網路中活躍了三週。然而,該群組於 2024 年 1 月重新出現,這次的目標則擴展至同一地區的至少 11 個其他組織和機構。
Jaramillo 補充:「我們不僅看到『紅宮行動』中的三個群組持續精進和協調他們的戰術,甚至進一步擴展行動範圍,試圖滲透到東南亞其他目標。有鑑於中國國家級攻擊團體經常共用基礎架構和工具,以及群組 Bravo 和群組 Charlie 的對象已經超越原始目標,我們很可能會看到這場行動繼續演變,甚至出現在新的地點。我們將密切監控這一情況。」
如欲了解更多資訊,請閱讀 Sophos.com 上的《紅宮行動: 新工具、新戰術、新目標》。如需 Sophos 威脅捕獵及其他防止網路攻擊的服務資訊,請參閱 Sophos Managed Detection and Response (MDR)。