中国黑客组织针对俄罗斯政府与IT公司的攻击

关键要点

• 中国官方支持的黑客组织APT27和APT31通过“东风”行动对俄罗斯政府及IT公司发动了一系列攻击。
• 攻击方式包括伪造的钓鱼邮件和特殊的恶意软件，这些恶意软件能够突破防护措施。
• 受影响的组织应警惕公共目录中大于5MB的DLL文件及特定进程的异常行为。

最近，BleepingComputer报道称，俄罗斯政府单位及IT公司在上个月底遭遇了一系列网络攻击，这一系列攻击属于与中国国有支持的黑客组织APT27和APT31相关的“东风”行动。

攻击的开始是通过发送带有RAR归档文件的钓鱼邮件，这些文件部署了一种后门程序，使得与APT31相关的GrewApacha木马得以注入。此外，Kaspersky的报告还揭示了一种新的CloudSorcerer恶意软件版本，该版本能通过VMProtect实现隐蔽。进一步分析显示，PlugY后门的部署包含了在APT27的攻击中观察到的代码。研究人员指出，PlugY不仅支持文件操作和脚本命令执行，还能实现键盘记录、剪贴板跟踪和屏幕捕捉，这表明APT27与APT31之间可能在“东风”行动中存在合作。

为了识别受到攻击的机器，建议组织保持警惕，关注公共目录中大于5MB的DLL文件，以及对已登录用户的'msiexec.exe'进程和未签名的'msedgeupdate.dll'文件的存在进行监控。

如您希望了解更多关于APT27和APT31的信息，请访问 。