美国组织遭受针对性情报攻击

关键要点

一家在中国有着显著影响力的大型美国组织，近日遭受到了一场为期四个月的针对性情报收集攻击，可能是由中国境内的威胁行为者实施的。

根据在12月5日的发布，他们认为攻击者位于中国，原因在于攻击中使用的某些工具，例如、Impacket，以及各种现成的攻击手法，过去在中国威胁行为者身上有过使用记录。

Symantec 的研究人员指出，尽管实际的网络入侵可能发生在更早之前，但有关威胁行为者活动的首次证据可以追溯到今年四月，并持续到2024年八月。

在这四个月的攻击期间，攻击者在该组织的网络中横向移动，侵入了多台计算机。研究人员表示，其中一些被攻击的计算机是，这表明攻击者的目标是通过窃取电子邮件收集情报。此外，攻击者还使用了数据外滩工具，进一步指向他们盗取敏感数据。

此次攻击的持续时间之长引发了对一种令人担忧的模式的关注，即威胁行为者有条不紊地收集情报并建立持久访问，从而为未来的针对性网络钓鱼活动或复杂的社会工程攻击创造机会，SlashNextEmail Security 的首席技术官 Stephen Kowski 说道。

Kowski 还提到，DLL 侧加载技术和合法工具的结合显示了现代攻击者如何将复杂的技术与日常商业应用相结合，以避免被发现。他指出，专注于
和电子邮件收集，表明这是一次旨在理解商业关系、内部通讯及潜在利用点的战略情报收集行动。

Kowski进一步补充表示：“拥有国际业务的公司需要强大的邮件安全，以检测和阻止复杂的网络钓鱼尝试，并对异常的横向移动模式进行持续监控，以指示凭证或系统被入侵的迹象，这可能用于未来的攻击。”

Critical Start 的网络威胁研究高级经理 Callie Guenther表示，这次攻击反映了中国APT常见的策略，包括DLL侧加载和使用现成工具的技术，如WMI和PowerShell，以实现隐蔽性和持久性。

Guenther ，，提到攻击 Exchange服务器表明专注于窃取电子邮件，很可能出于间谍目的，例如收集知识产权或战略通讯。她补充说，使用的其他工具如
和 Impacket 展示了广泛可用的实用工具与定制恶意软件的混合，增加了归属的复杂性。

Guenther 表示：“四个月的滞留时间表明，要么是检测能力的缺口，要么是攻击者的耐心。”
“初始访问向量仍然未知，但可能涉及定向网络钓鱼、供应链妥协或漏洞利用。”

前NSA网络安全专家 Evan Dornbush 指出，受害公司接下来将采取什么行动将十分引人关注。

“请回忆2010年，‘亚瑟行动’披露后，谷歌缩减了在中国的业务，对其系统增加了加密和零信任机制，并加大了对 [威胁分析组
(TAG)](https://www.scworld.com/news/google-shuts-down-government-dis