中国威胁组织"Jewelbug"隐秘渗透俄罗斯IT系统

赛门铁克公司（隶属于博通）将2025年1月至5月的攻击活动与其追踪为Jewelbug的威胁组织联系起来，声称该组织与CL-STA-0049（Palo Alto Networks Unit 42）、Earth Alux（Trend Micro）和REF7707（Elastic Security Labs）等集群存在重叠。

研究结果表明，尽管莫斯科和北京多年来发展了"军事、经济和外关"系，中国仍然能够在俄罗斯进行网络间谍活动。

赛门铁克威胁猎人团队在一份与The Hacker News分享的报告中声称：“攻击者获得了代码仓库和软件构建系统的访问权限，他们可能利用这些权限对该公司在俄罗斯的客户发起供应链攻击。值得注意的是，攻击者还将数据外泄至Yandex Cloud。”

Earth Alux被认为至少从2023年第二季度开始活跃，主要分发VARGEIT和COBEACON（也称为Cobalt Strike Beacon）等恶意软件。攻击主要针对亚太地区和拉丁美洲的政府、技术、物流、制造、电信、IT服务和零售行业。

然而，值得注意的是，CL-STA-0049/REF7707发起的攻击传播一种名为FINALDRAFT（也称为Squidoor）的高级后门，该后门可以感染Linux和Windows系统。赛门铁克的分析表明，这两个活动集群之前从未被联系在一起。

据称，Jewelbug在对俄罗斯IT服务提供商的攻击中使用了修改版的Microsoft Console Debugger（“cdb.exe”）。这个版本可用于启动可执行文件、运行DLL、终止安全解决方案、运行shellcode以及绕过程序白名单。

此外，观察到该威胁行为者删除Windows事件日志以隐藏其行为证据、转储凭据以及通过计划任务建立持久性。

针对IT服务提供商是一个经过计算的举动，因为它创造了供应链攻击的可能性，使威胁行为者能够利用此漏洞通过恶意软件更新同时感染多个下游消费者。

Jewelbug与2025年7月一起南美主要政府机构攻击事件有关，据称当时正在开发一个尚未公开的后门，这进一步证明了该组织不断发展的技能。该恶意软件可以收集系统数据，统计目标计算机上的文件，并使用Microsoft Graph API和OneDrive将数据传输到OneDrive进行命令和控制（C2）。

通过使用Microsoft Graph API，威胁行为者可以混入常规网络流量中，留下很少的取证痕迹，这使得事后分析更加困难，并增加了威胁行为者的驻留时间。

2024年10月和11月的其他目标包括一家台湾公司和一家南亚IT提供商。后者遭到使用DLL侧加载技术释放恶意负载的攻击，例如ShadowPad，这是一个仅被中国黑客组织使用的后门。

作为自带易受攻击驱动程序（BYOVD）攻击的一部分，感染链进一步表现为使用KillAV工具禁用安全软件和公开可用的工具EchoDrv，该工具允许滥用ECHOAC反作弊驱动程序中的内核读/写漏洞。

此外，还使用了开源工具，如用于发现和权限提升的PrintNotifyPotato、Coerced Potato和Sweet Potato，用于凭据转储的LSASS和Mimikatz，以及中国黑客团队（如Gelsemium、Lucky Mouse和Velvet Ant）使用的SOCKS隧道工具EarthWorm。

赛门铁克威胁猎人团队告知The Hacker News，他们无法验证在上述每个事件中用于入侵组织的感染向量。

赛门铁克表示：“Jewelbug在其业务活动中倾向于使用云服务和其他合法工具，这表明保持低调并在受害者网络上建立隐秘和持久的存在对该组织至关重要。”

据路透社报道，这一发现出现之际，台湾国家安全局警告称，中国对其政府机构的网络攻击有所增加，并批评北京的"网络水军"试图在社交媒体上传播虚假信息，削弱公众对政府和美国的信心。