iSoon 的秘密 APT 狀態暴露了中國的外國黑客陰謀
Posted: Wed Dec 04, 2024 10:44 am
大量洩漏的文件顯示,中國政府與私部門駭客合作,監視外國政府和企業、國內持不同政見者、少數民族等。
2 月 16 日,一位動機不明的匿名人士揭開了安訊資訊科技(又稱 iSoon)的帷幕,這是一家總部位於上海的公司,外界以提供網路安全培訓課程而聞名。
在幕後,該公司似乎是一家為中華人民共和國(PRC)政府機構提供服務的駭客僱傭公司,其中包括公共安全部、國家安全部和中國人民解放軍(PLA) 。
分析師發現 iSoon 與多個已知的中國 APT 有重疊。 CrowdStrike 反對行動負責人 Adam Meyers 告訴 Dark Reading,該組織專門針對Aquatic Panda(又名 Budworm、Charcoal Typhoo、ControlX、RedHotel、BRONZE UNIVERSITY)。
洩漏的 500 多份文件包括行銷資料、產品手 法國電報手機號碼列表 冊、客戶和員工名單、客戶和員工之間的微信即時訊息等等。分析師仍在大量研究(並證實)這些材料,這些材料總體上開始描繪出中國政府在網路空間的主要目標和目標。
iSoon 正在攻擊誰
iSoon 的目標包括國內目標,例如香港的民主組織,以及少數民族成員,例如來自中國新疆省的維吾爾族人。
它們跨越了至少 14 個政府的機構——僅在越南,例如內政部、經濟部、政府統計辦公室和交通管制警察——而且可能(尚未證實)北大西洋條約組織(北約)。
它也侵入了亞洲各地的私人組織,從賭博到航空公司再到電信公司。
SentinelOne 顧問、大西洋理事會全球中國中心非常駐研究員 Dakota Cary 表示,從這個網路攻擊小組的廣泛目標中可以吸取重要的教訓。
「他們之前的定位歷史不應該代表未來的興趣,」他說,「因為他們在市場上與許多感興趣的各方競爭出價。在任何時候,他們的需求訊號都可能根據誰在招攬他們的業務而改變。
政府利用的廉價交易
週末洩漏的文件還顯示,中國政府向 iSoon 支付接觸受害者費用的費用差異很大。
例如,造訪越南交通警察的私人網站需要支付 15,000 美元的費用,而來自經濟部的數據則需要支付 55,000 美元。根據《紐約時報》報道,從社群媒體帳號收集的某些個人資訊對政府來說價值高達 278,000 美元,長期以來,政府一直以執政黨的個人反對者為目標。
按目標付款?
越南經濟部 40萬
越南內政部 35萬
越南統計總局 35萬pic.twitter.com/WlNg8NbJat
- 達科塔·卡里 (@DakotaInDC) 2024 年 2 月 19 日
「價格點是市場成熟度的一個非常有趣的指標,」卡里認為。特別是與漏洞市場上的價格形成鮮明對比。
「這肯定說明了供應方面的問題,入侵越南經濟部的合約費為 55,000 美元。這個承包商黑客市場中有許多提供商,因此 55,000 美元足以讓一家公司走出去,執行這些任務,」他說。
很多新訊息,但沒有任何變化
iSoon 擁有一系列有趣的惡意工具- Twitter 資訊竊取程式、筆測試工具和更高級的硬體設備,包括特殊的電池釘和設計看起來像充電寶的工具,這兩者都用於將資訊從受害者網路傳遞給駭客。
不過,它使用的大部分內容都是中國 APT 生態系統中已知的惡意軟體,例如 Winnti 後門和古老的PlugX 遠端存取木馬 (RAT)。
「從大局來看,我們以前不知道的事情其實並沒有那麼多,」邁耶斯說。對他來說,洩密事件中最有趣的方面是幕後惡作劇——員工抱怨薪水低、在辦公室賭博麻將等等。 “這真的很酷,但這不會改變我們日常所做的任何事情。”
嘿老闆
怎麼了?在辦公室
打麻將
?什麼,我們不能在辦公室玩錢嗎?老闆,李局長正在清理幾千塊,快來加入我們pic.twitter.com/7VgOqVg22o
- 達科塔·卡里 (@DakotaInDC) 2024 年 2 月 19 日
對卡里來說,最重要的是一些組織在網路間諜市場上獲得的利益是多麼的少。
「對於你的組織來說,門檻不能這麼低,特別是考慮到公司在工資、工具等方面的支出,」他說。 “你希望與你公司簽訂合約的人必須支付一百萬美元——盡可能高。”
「關鍵的教訓是:如果他們能以 55,000 美元的價格追捕政府部門,你認為你的價格是多少?”他問。
2 月 16 日,一位動機不明的匿名人士揭開了安訊資訊科技(又稱 iSoon)的帷幕,這是一家總部位於上海的公司,外界以提供網路安全培訓課程而聞名。
在幕後,該公司似乎是一家為中華人民共和國(PRC)政府機構提供服務的駭客僱傭公司,其中包括公共安全部、國家安全部和中國人民解放軍(PLA) 。
分析師發現 iSoon 與多個已知的中國 APT 有重疊。 CrowdStrike 反對行動負責人 Adam Meyers 告訴 Dark Reading,該組織專門針對Aquatic Panda(又名 Budworm、Charcoal Typhoo、ControlX、RedHotel、BRONZE UNIVERSITY)。
洩漏的 500 多份文件包括行銷資料、產品手 法國電報手機號碼列表 冊、客戶和員工名單、客戶和員工之間的微信即時訊息等等。分析師仍在大量研究(並證實)這些材料,這些材料總體上開始描繪出中國政府在網路空間的主要目標和目標。
iSoon 正在攻擊誰
iSoon 的目標包括國內目標,例如香港的民主組織,以及少數民族成員,例如來自中國新疆省的維吾爾族人。
它們跨越了至少 14 個政府的機構——僅在越南,例如內政部、經濟部、政府統計辦公室和交通管制警察——而且可能(尚未證實)北大西洋條約組織(北約)。
它也侵入了亞洲各地的私人組織,從賭博到航空公司再到電信公司。
SentinelOne 顧問、大西洋理事會全球中國中心非常駐研究員 Dakota Cary 表示,從這個網路攻擊小組的廣泛目標中可以吸取重要的教訓。
「他們之前的定位歷史不應該代表未來的興趣,」他說,「因為他們在市場上與許多感興趣的各方競爭出價。在任何時候,他們的需求訊號都可能根據誰在招攬他們的業務而改變。
政府利用的廉價交易
週末洩漏的文件還顯示,中國政府向 iSoon 支付接觸受害者費用的費用差異很大。
例如,造訪越南交通警察的私人網站需要支付 15,000 美元的費用,而來自經濟部的數據則需要支付 55,000 美元。根據《紐約時報》報道,從社群媒體帳號收集的某些個人資訊對政府來說價值高達 278,000 美元,長期以來,政府一直以執政黨的個人反對者為目標。
按目標付款?
越南經濟部 40萬
越南內政部 35萬
越南統計總局 35萬pic.twitter.com/WlNg8NbJat
- 達科塔·卡里 (@DakotaInDC) 2024 年 2 月 19 日
「價格點是市場成熟度的一個非常有趣的指標,」卡里認為。特別是與漏洞市場上的價格形成鮮明對比。
「這肯定說明了供應方面的問題,入侵越南經濟部的合約費為 55,000 美元。這個承包商黑客市場中有許多提供商,因此 55,000 美元足以讓一家公司走出去,執行這些任務,」他說。
很多新訊息,但沒有任何變化
iSoon 擁有一系列有趣的惡意工具- Twitter 資訊竊取程式、筆測試工具和更高級的硬體設備,包括特殊的電池釘和設計看起來像充電寶的工具,這兩者都用於將資訊從受害者網路傳遞給駭客。
不過,它使用的大部分內容都是中國 APT 生態系統中已知的惡意軟體,例如 Winnti 後門和古老的PlugX 遠端存取木馬 (RAT)。
「從大局來看,我們以前不知道的事情其實並沒有那麼多,」邁耶斯說。對他來說,洩密事件中最有趣的方面是幕後惡作劇——員工抱怨薪水低、在辦公室賭博麻將等等。 “這真的很酷,但這不會改變我們日常所做的任何事情。”
嘿老闆
怎麼了?在辦公室
打麻將
?什麼,我們不能在辦公室玩錢嗎?老闆,李局長正在清理幾千塊,快來加入我們pic.twitter.com/7VgOqVg22o- 達科塔·卡里 (@DakotaInDC) 2024 年 2 月 19 日
對卡里來說,最重要的是一些組織在網路間諜市場上獲得的利益是多麼的少。
「對於你的組織來說,門檻不能這麼低,特別是考慮到公司在工資、工具等方面的支出,」他說。 “你希望與你公司簽訂合約的人必須支付一百萬美元——盡可能高。”
「關鍵的教訓是:如果他們能以 55,000 美元的價格追捕政府部門,你認為你的價格是多少?”他問。