中国国家赞助的威胁组织APT31,也被称为Judgment Panda、Violet Typhoon和Bronze Vinewood,去年在对东欧工业实体执行空气隔离系统攻击[来源]。根据卡巴斯基的报告,APT31在这次多阶段攻击中利用了超过15种不同的植入物。除了使用FourteenHi恶意软件家族的不同版本来进行任意文件的上传和下载以及命令执行外,APT31还利用了MeatBall恶意软件和另一种利用Yandex Cloud进行命令与控制的负载作为其初始阶段的后门。同时,其他植入物被用来在空气隔离系统中启用本地文件连接和数据外泄。
“该威胁行为者以加密负载、内存注入和DLL劫持等手段故意掩盖其动作,突显了其战术的复杂性。尽管从空气隔离网络中提取数据是许多APT和针对性网络间谍活动的常见策略,但这次的设计和实施由该行为者独特完成,”卡巴斯基ICS CERT高级安全研究员Kirill Kruglov说道。
APT31的攻击模式展示出该团体在高技术网络攻击领域的成熟与复杂,值得东欧的工业企业和相关安全团队提高警惕,共同防范潜在的安全威胁。
