展示柜货号:未知 DeadRinger:中国 APT 攻击主要电信公司
周二,Cybereason Nocturnus发布了一份关于网络攻击者的新报告,这些攻击者被认为是为“中国国家利益”工作,并以“DeadRinger”的名义聚集在一起。
根据这家网络安全公司的说法,“以前身份不明”的活动集中在东南亚 - 与攻击者如何在SolarWinds和Kaseya的情况下通过集中供应商保护对受害者的访问类似,该组织的目标是电信公司。
Cybereason 认为,由于与其他已知的中国 APT 在战术和技术上有重叠,这些攻击是与中国政府赞助有关的高级持续威胁 (APT) 组织的工作。
已检测到三组活动,其中最古老的例子可追溯到 2017 年。第一组据信由Soft Cell APT操作或在其之下操作,于 2018 年开始攻击。
第二个集群,据说是Naikon 的杰作,于 2020 年最后一个季度浮出水面并开始打击电信公司,一直持续到现在。研究人员说,奈康可能与中国人民(PLA)军事局有关。
Cybereason 表示,在每次攻击浪潮中,攻击电信公司的目的都是“通过收集敏感信息、破坏高调的商业资产(例如包含呼叫详细记录 (CDR) 数据的计费服务器以及关键信息)来促进网络间谍活动”。网络组件,例如域控制器、Web 服务器和 Microsoft Exchange 服务器。”
在某些情况下,每组重叠并同时出现在相同的目标环境和端点中。但是,无法明确地说他们是独立工作还是都在另一个中央小组的指导下工作。
研究人员说:“在撰写本报告是,这些集群实际上是相互关联还是相互独立运行尚不完全清楚。” “我们提供了几个可以解释这些重叠的假设,希望随着时间的推移,我们和其他研究人员可以获得更多信息,这将有助于阐明这个难题。”