中国黑客组织针对俄罗斯政府与IT公司的攻击

关键要点

中国官方支持的黑客组织APT27和APT31通过“东风”行动对俄罗斯政府及IT公司发动了一系列攻击。攻击方式包括伪造的钓鱼邮件和特殊的恶意软件，这些恶意软件能够突破防护措施。受影响的组织应警惕公共目录中大于5MB的DLL文件及特定进程的异常行为。

最近，BleepingComputer报道称，俄罗斯政府单位及IT公司在上个月底遭遇了一系列网络攻击，这一系列攻击属于与中国国有支持的黑客组织APT27和APT31相关的“东风”行动。

攻击的开始是通过发送带有RAR归档文件的钓鱼邮件，这些文件部署了一种后门程序，使得与APT31相关的GrewApacha木马得以注入。此外，Kaspersky的报告还揭示了一种新的CloudSorcerer恶意软件版本，该版本能通过VMProtect实现隐蔽。进一步分析显示，PlugY后门的部署包含了在APT27的攻击中观察到的代码。研究人员指出，PlugY不仅支持文件操作和脚本命令执行，还能实现键盘记录、剪贴板跟踪和屏幕捕捉，这表明APT27与APT31之间可能在“东风”行动中存在合作。

推特专用加速器

为了识别受到攻击的机器，建议组织保持警惕，关注公共目录中大于5MB的DLL文件，以及对已登录用户的msiexecexe进程和未签名的msedgeupdatedll文件的存在进行监控。

攻击特征详情钓鱼邮件伪造的邮件中包含RAR归档文件，利用后门进行进一步攻击恶意软件通过VMProtect避免检测的CloudSorcerer及GrewApacha木马后门特性PlugY后门支持文件操作、脚本执行及数据跟踪警惕指标大于5MB的DLL文件，特别进程msiexecexe与未签名的文件

如您希望了解更多关于APT27和APT31的信息，请访问 APT31信息报导。