中国关联组织Salt Typhoon利用Citrix漏洞入侵欧洲电信网络

中国关联的APT组织Salt Typhoon在2025年7月通过利用Citrix NetScaler Gateway漏洞入侵欧洲电信公司,使用SNAPPYBEE后门和LightNode VPS服务器进行指挥控制,Darktrace通过AI检测成功在攻击升级前阻止了此次入侵。

中国关联组织Salt Typhoon利用Citrix漏洞入侵欧洲电信

2025年7月,与中国有关的APT组织Salt Typhoon(又名Earth Estries、FamousSparrow、GhostEmperor、UNC5807、RedMike)利用Citrix NetScaler Gateway漏洞入侵了一家欧洲电信公司。

攻击时间线

  • 2024年底:大规模中国网络间谍活动针对全球电信公司,美国将其归因于国家支持的Salt Typhoon组织
  • 2024年12月:美国总统副国家安全顾问Anne Neuberger透露Salt Typhoon组织入侵了数十个国家的电信公司
  • 2025年7月:Darktrace检测到针对欧洲电信公司的网络间谍活动

攻击技术细节

初始访问

  • 攻击者利用Citrix NetScaler Gateway设备获得初始访问权限
  • 通过SoftEther VPN服务端点进行基础设施混淆

横向移动

  • 从Citrix NetScaler Gateway转向Citrix虚拟交付代理(VDA)主机
  • 在客户的机器创建服务(MCS)子网内活动

恶意软件部署

  • 通过DLL旁加载使用合法防病毒可执行文件(Norton、Bkav、IObit)部署SNAPPYBEE(Deed RAT)后门
  • 使用LightNode VPS服务器进行指挥控制(C2)
  • 通过HTTP和未知TCP协议通信以规避检测

C2基础设施

  • 后门发送模仿Internet Explorer流量的POST请求
  • 使用URI如"/17ABE7F017ABE7F0"
  • 识别到与Salt Typhoon相关的C2域名:aar.gandhibludtric[.]com (38.54.63[.]75)

检测与归因

Darktrace通过AI在攻击升级前识别并缓解了此次入侵。基于工具、方法和基础设施的相似性,Darktrace以中等置信度评估该活动与Salt Typhoon/Earth Estries组织一致。

该事件表明传统的基于签名的安全措施已不足够,早期检测异常行为对于阻止此类高级威胁至关重要。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次