网络安全公司 Proofpoint 的研究人员表示,他们观察到中国支持的高级持续性威胁组织 TA412,也称为 Zirconium ,自去年初以来参与了几次侦察性网络钓鱼活动。
Proofpoint 表示,它在 2021 年 1 月和 2021 年 2 月目睹了五次针对美国记者的单独网络钓鱼活动,尤其是那些报道美国政治和国家安全的记者。然而,研究人员指出,在1 月 6 日对美国国会大厦的攻击之前的几天里,“侦察网络钓鱼的目标发生了非常突然的转变”,黑客将注意力集中在华盛顿特区 和白宫记者。
中国支持的黑客利用了从最近美国新闻文章中提取的主题行,例如“由于特朗普拒绝签署救济法案,失业福利耗尽”、“美国对中国发出俄罗斯威胁”和“特朗普呼吁格鲁吉亚官员可能违反国家和联邦法律,”研究人员说。
然后,几个月后的 2021 年 8 月,Zirconium 将注意力转向了专注于中国的网络安全、监控和隐私问题的记者。在长达数月的停顿之后,该组织于 2022 年 2 月恢复了活动,目标是报道俄罗斯当时预期入侵乌克兰的美国媒体组织。
Proofpoint 观察到另一个由中国支持的威胁组织 TA459,该组织在 2022 年 4 月下旬针对记者和媒体人员使用恶意软件,如果打开该恶意软件,攻击者就会进入受害者机器的后门。该活动使用一个可能被泄露的巴基斯坦政府电子邮件地址来发送电子邮件,并希望通过阿富汗外交政策的诱惑来吸引受害者。
研究人员表示,它已经看到世界各地的高级威胁组织针对或利用记者进行了“持续努力”,并发现了由国家支持的黑客在朝鲜、土耳其和伊朗发起的类似网络行动。
与朝鲜结盟的 TA404 黑客组织,更为人所知的是 Lazarus,也积极瞄准美国记者。该组织最近与价值 1 亿美元的 Harmony 桥盗窃案有关,据说该组织在发表一篇批评朝鲜领导人金正恩的文章后,将目标对准了一个以就业机会为主题的网络钓鱼的媒体组织。虽然 Proofpoint 没有看到后续电子邮件,但其研究人员指出,该攻击与谷歌威胁研究人员今年早些时候观察到的朝鲜活动具有共同的妥协指标。
在土耳其,Proofpoint 在 TA482 跟踪并与土耳其政府有关联的威胁行为者被发现参与了针对主要美国记者和媒体组织的社交媒体账户的凭证收集活动。研究人员还报告说,另一个被认为支持伊朗伊斯兰革命卫队情报收集工作的黑客组织 TA453 在部署凭据收集恶意软件之前伪装成记者。
Proofpoint 表示,虽然针对记者和媒体组织并不新鲜,但那些在媒体领域工作的人应该评估他们的风险水平。研究人员警告说:“如果你报道中国或朝鲜或相关威胁行为者,你可能会成为他们未来收集要求的一部分。”
原文: https://techcrunch.com/2022/07/14/china-hackers-capitol-riot-january-6/