俄罗斯网络安全公司卡巴斯基(Kaspersky)的研究人员发现了一系列针对俄罗斯国家机构和科技公司的网络攻击,这些攻击可能与中国威胁行为者有关。该活动名为EastWind,涉及使用复杂的恶意工具,例如GrewApacha远程访问木马(RAT)、身份不明的PlugY后门以及CloudSorcerer恶意软件的更新版本。这些工具与已知的中国黑客组织APT31和APT27有历史联系。
卡巴斯基的分析表明,攻击者使用了带有恶意档案的网络钓鱼电子邮件来发起攻击。他们在第一阶段利用动态链接库(DLL)来收集信息并部署其他恶意软件。尽管卡巴斯基没有直接将攻击归咎于APT31或APT27,但他们指出EastWind中使用的工具与以前与这些组织相关的工具之间存在显著相似之处。
自2021年以来,GrewApacha RAT一直与APT31相关联,而PlugY与APT27使用的恶意软件有共同之处。APT27至少自2010年以来一直活跃,有着针对各个领域的历史,包括航空航天、国防和技术。PlugY后门仍在分析中,据信它是使用DRBControl后门代码开发的,该代码与APT27和PlugX恶意软件有关。
此前,一系列值得注意的网络事件被归咎于这些组织,包括英国政府在7月对APT31违反选举委员会服务器的指控。这些发现凸显了与国家有联系的行为者构成的网络威胁的持续性和不断发展的性质。来源