中国APT组织利用研究员PoC代码进行网络间谍活动

文章详细分析了名为"红色十一月"的中国APT组织如何利用公开的概念验证漏洞进行网络间谍活动。该组织专门监控新披露的漏洞,在PoC发布后迅速行动,针对政府机构和关键企业展开攻击,活动轨迹与中国地缘政治利益高度吻合。

中国APT组织利用研究员PoC代码进行网络间谍活动

“红色十一月"既懒惰又守时:总是快速研究新漏洞,但答案总是来自网络防御者。

Nate Nelson, 特约撰稿人 2025年9月24日 4分钟阅读

来源:ahc via Alamy Stock Photo

一个新兴的中国威胁组织一直在使用公开可用的漏洞利用程序对亚洲和西方政府以及高价值公司进行间谍活动。

漏洞披露的双刃剑

当网络安全研究人员发布软件漏洞的概念验证(PoC)利用程序时,他们的目的是通知并帮助组织保护自己。当然,问题在于这些信息同样对能够将其武器化的攻击者可用。事实上,近年来攻击者一直在投入时间和精力,在组织有机会之前发现这些安全披露并采取行动。

根据威胁情报供应商Recorded Future的新报告,红色十一月(又名Storm-2077)在这方面做得比任何人都好。这是一个与全球最复杂、资源最丰富的国家之一相关的高级持续性威胁(APT),但它没有独特的恶意软件或技术。相反,它通过在新PoC出现在网络上时抢先一步,成功地渗透了与中国国家利益一致的主要公司和政府机构。

Recorded Future的首席威胁情报分析师Sveva Vittoria Scenarelli在电子邮件中表示:“公共和私营部门继续就这个话题进行对话非常重要。漏洞披露可以通过周到的方法来处理,使供应商(或提供商)及其客户都更加安全,但在这个过程中如何进行、为什么以及如何进行披露,以及不同组织响应此类披露的能力存在显著差异。”

红色十一月:懒惰却守时

去年4月和5月,威胁行为者利用Check Point安全网关中的高危任意文件读取漏洞(CVE-2024-24919)作为零日漏洞。供应商在5月下旬认识到这个问题,并于5月28日确认并发布了修复程序。两天后,安全研究人员发布了概念验证(PoC)。

利用零日漏洞不是红色十一月的游戏——也许它没有资源、能力,或者更可能的是,没有这样做的意愿。相反,它密切关注漏洞披露,当公开PoC可用时,它会立即采取行动。Recorded Future表示,在CVE-2024-24919披露后不到四天,有证据表明红色十一月正在积极探测Check Point的网关。

同一时期的CVE-2024-3400也是如此,这是一个CVSS评分为10分的任意文件创建问题,影响了Palo Alto的GlobalProtect远程访问平台。红色十一月还针对其他边缘设备,如SonicWall产品、Cisco Adaptive Security Appliance、F5 Network的BIG-IP、Sophos SSL VPN和Fortinet FortiGate实例,以及Ivanti Connect Secure虚拟专用网络(VPN)设备。

工具和技术的选择

在利用他人的工作来利用漏洞后,红色十一月还部署其他人的恶意软件。它使用基于Go的LeslieLoader来部署像SparkRAT这样的程序,这是一个与各种中国网络活动相关的跨操作系统信息窃取器;Pantegana,一个基于Go的命令和控制(C2)框架;以及广泛使用的渗透测试套件Cobalt Strike。

红色十一月在其所有其他相关活动中也使用商业工具。像ExpressVPN这样的商业VPN帮助它连接到自己的基础设施。在2025年4月,Recorded Future的研究人员甚至发现它使用互联网档案馆的Wayback Machine——这个工具在网络安全记者中比在他们报道的威胁行为者中更常见——他们不知道确切原因。

Scenarelli推测:“红色十一月可能将其用作侦察的一部分:例如,试图确定组织网页随时间的变化,或扫描组织的实时网页以查看它们在搜索时的外观。甚至可能是红色十一月试图移除出版物的付费墙,以阅读可能与其侦察活动相关的文章。”

与地缘政治变化同步的间谍活动

令人难以置信的是,这些相当传统且低投入的网络攻击持续对敏感部门的政府机构和公司产生效果。Recorded Future写道,红色十一月的受害者包括台湾的科技公司、欧洲的制造商以及整个东南亚(不包括中国)的政府实体。它的活动紧密反映了中国的国家利益,可以说比大多数其他中国APT组织更甚。

以斐济为例。这个太平洋小岛国在大多数人的地缘政治重要性列表中并不靠前,但它是中国"一带一路"倡议的重要一环。2024年7月,红色十一月针对Outlook Web Access(OWA)和Sophos UTM登录,监视了斐济政府、金融和媒体领域的50多个组织,以及与"一带一路"特别相关的多个陆、海、空运输当局。

还有更令人担忧的案例。2024年12月9日,中国军方在台湾海岸附近发起军事行动,部署了近100艘军舰和船只模拟战时战斗和封锁场景。研究人员发现,就在同一天,并持续一周之后,红色十一月对台湾某地进行了网络侦察,该地是半导体研发和台湾军用机场的所在地。

Scenarelli警告说:“红色十一月极有可能在特定的时间点收集或试图收集具有明确战略利益的情报。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次