Sophos揭露《紅宮行動》報告：中國國家支持的駭客組織鎖定東南亞政府機構

Sophos 於6月6日發布了《紅宮行動：威脅捕獵揭露鎖定東南亞的多個中國國家支持的活動集團》報告，詳細介紹了一場針對高階政府目標且持續近兩年的高度複雜間諜活動。在 Sophos X-Ops 於 2023 年開始的調查中，旗下託管式偵測和回應 (MDR) 團隊發現了針對同一組織的三個不同活動集團，其中兩個集團使用的策略、技術和程序 (TTP) 與知名中國國家支持的組織 (BackdoorDiplomacy、APT15 和 APT41 子集團 Earth Longzhi) 重疊。

攻擊者在這個行動中使用了多種惡意軟體和工具，以收集特定使用者的情報以及敏感的政治、經濟和軍事資訊，Sophos 將其命名為「紅宮行動」(Crimson Palace)。其中包括一種前所未見的惡意軟體，Sophos 將其稱為PocoProxy，是一種持續滲透工具。

Sophos 威脅捕獵和威脅情報主管 Paul Jaramillo 表示：「這些不同的集團似乎在為中國國家的利益服務，專門收集中國在南中國海戰略的軍事和經濟情報。在這次特定的行動中，我們相信這三個集團代表了不同的攻擊組織，它們在中央國家機器的指導下平行運作。在我們識別的三個集團之一——Alpha 集團中，看到惡意軟體和 TTP 與其他四個被舉發的中國威脅組織重疊。眾所周知，中國攻擊者會共用基礎架構和工具，這次最新的行動再次提醒我們這些組織是如何廣泛地共享彼此的工具和技術。

「隨著西方政府提高了對來自中國的網路威脅的警覺性，Sophos 揭露的重疊現象是一個重要的提醒。過度關注任何單一歸咎於中國駭客的行為，可能會使企業忽略這些組織如何協調運作的趨勢。透過掌握更大、更廣泛的全貌，企業可以更聰明地進行防禦。」

Sophos X-Ops 在 2022 年 12 月首次發現鎖定企業網路的惡意活動，當時揭露了一個來自中國威脅組織 Mustang Panda 的資料外洩工具。此後，MDR 團隊開始進行更廣泛的惡意活動捕獵。在 2023 年 5 月，Sophos X-Ops 威脅捕獵時發現了一個有弱點的 VMWare 可執行檔，經過分析，發現了遭鎖定網路中的三個不同活動集團：Bravo 集團、Charlie 集團和 Alpha 集團。

Alpha 集團活躍於 2023 年 3 月初到至少 2023 年 8 月期間，其部署了多種惡意軟體，專注於停用防毒保護、提升權限和進行偵察。其中包括升級版的 EAGERBEE 惡意軟體，而這與中國威脅組織 REF5961 有關。Alpha 集團還使用了與中國威脅組織 BackdoorDiplomacy、APT15、Worok 和 TA428 重疊的 TTP 和惡意軟體。

Bravo 集團僅在遭鎖定網路中活躍了三週，專注於橫向移動，透過受害者網路來側載名為 CCoreDoor 的後門程式。這個後門程式會建立外部通訊路徑、執行探索操作並外洩憑證。
Charlie 集團則活躍於 2023 年 3 月到至少 2024 年 4 月期間，專注於間諜活動和資料外洩。包括部署 PocoProxy：一個偽裝為 Microsoft 可執行檔的持續滲透工具，並建立與攻擊者的指揮和控制基礎架構的通訊。Charlie 集團著重於外洩大量敏感資料，包括軍事和政治文件，以及進一步存取網路的憑證/權杖。Charlie 集團的 TTP 與中國威脅組織 Earth Longzhi (APT41 的一個子集團) 重疊。與 Alpha 和 Bravo 集團不同的是，Charlie 集團仍在活躍中。

Jaramillo 表示：「我們在這次行動中看到的是在南中國海地區積極發展的網路間諜活動。我們發現了可能擁有無限資源的多個威脅組織，它們會針對同一高階政府組織進行數週或數月的攻擊，並會交互使用先進的自訂惡意軟體與公開可用的工具。它們能夠，並且仍然能夠自由地在一個組織中移動，以及經常更換工具。至少有一個活動集團仍然非常活躍，並試圖進行進一步的監視。

「有鑑於這些中國威脅組織經常重疊並共用工具，我們在這次行動中觀察到的 TTP 和新型惡意軟體有可能在全球其他歸因於中國的行動中再次出現。我們將繼續調查這三個集團，並與情報界分享我們的發現。」