大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
在网络安全领域,又一起令人震惊的事件浮出水面。一个名为“鱼贩子”(FishMonger)的中国网络间谍组织,被发现与科技承包商I-SOON存在直接关联。近期,美国司法部(DOJ)已对I-SOON提起诉讼,指控其参与全球网络攻击。这一消息如一颗重磅炸弹,在网络安全圈掀起了轩然大波。
“鱼贩子”的间谍往事
“鱼贩子”组织,也被称作Earth Lusca、TAG-22、Aquatic Panda或者Red Dev 10,其网络间谍活动的历史至少可追溯到2019年。该组织隶属于Winnti集团,主要在中国成都开展活动。ESET的最新调查发现,“鱼贩子”是“鱼杂烩行动”(Operation FishMedley)的幕后黑手。在2022年的这场网络攻击行动中,全球有七家组织机构不幸中招。
这些被攻击的目标涵盖了多个重要领域和地区:台湾与泰国的政府机构,成为其窥探政府决策和情报的目标;美国和亚洲的非政府组织(NGOs)及慈善机构,因其广泛的社会联系和资源信息,也被“鱼贩子”盯上;匈牙利的一家天主教组织,以及法国的一个地缘政治智囊团,同样未能幸免。为了实现其窃取情报、监视和渗透网络的目的,“鱼贩子”部署了多种先进且复杂的恶意软件植入程序,如ShadowPad、Spyder和SodaMaster等。这些工具在以往与中国相关的威胁行为者的攻击中也较为常见,成为了他们实施网络犯罪的“得力助手”。
攻击手段大揭秘
ESET对“鱼贩子”活动的深入调查,揭示了其一系列极具隐蔽性和破坏性的攻击手段。在网络渗透过程中,“鱼贩子”可能通过窃取域管理员凭证,获取了目标网络的特权访问权限。这就如同在敌方阵营中拿到了一把万能钥匙,能够自由出入各个关键区域。他们利用被攻陷的管理控制台部署恶意植入程序,并借助Impacket工具进行横向移动,就像潜伏在网络中的“幽灵”,在各个系统之间悄然穿梭,扩大其攻击范围。通过对LSASS进程进行转储,“鱼贩子”得以执行侦察命令并窃取凭证信息。例如,在美国的一家非政府组织,攻击者使用Impacket工具提升权限,肆意执行系统命令,还成功提取了包含认证数据的敏感注册表配置单元,将该组织的网络安全防线彻底撕开了一道大口子。
I-SOON:FBI的“眼中钉”
2025年3月5日,美国司法部公布了对I-SOON员工以及中国公安部官员的起诉书,指控他们在2016年至2023年间从事网络间谍活动。这一消息一经公布,迅速引起了国际社会的广泛关注。FBI更是将与I-SOON相关的多名人员列入了“最通缉名单”。此前,独立研究就已经指出I-SOON与“鱼贩子”的活动存在紧密联系,此次美国司法部的行动,进一步证实了这一关联。I-SOON在“鱼贩子”的间谍行动中,究竟扮演着怎样的角色?是提供技术支持、资金援助,还是直接参与策划?随着调查的深入,或许会有更多惊人的内幕被揭开。
在当前复杂的国际形势下,网络安全已成为各国关注的焦点。“鱼贩子”与I-SOON的关联事件,为我们敲响了警钟。无论是政府机构、非政府组织,还是各类企业,都应当高度重视网络安全防护,加强对网络攻击的监测与预警,提升自身的安全防御能力。同时,国际社会也应加强合作,共同打击网络犯罪,维护全球网络空间的和平与稳定。
加入知识星球,可继续阅读
一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。
二、"DeepSeek:APT攻击模拟的新利器",为你带来APT攻击的新思路。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...