0次浏览 发布时间:2025-06-08 15:46:00
近日,国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室、360数字安全集团联合发布《“蚍蜉撼树”—— 台民进党当局 “资通电军 ”黑客组织网络攻击活动调查报告》(以下简称《报告》),对中国台湾省民进党当局长期以来充当美国爪牙,对我长期实施网络战等情况进行了详细揭露。
豢养黑客组织 造成恶劣后果罄竹难书
据《报告》,2017年,中国台湾省民进党当局就成立了所谓的“资通电军”,参照美军网络战部队的模式对大陆地区实施“电子战”“信息战”,还豢养了多个黑客组织,通过网络攻击手段窃取敏感数据和重要情报信息,向“美国主子”摇尾乞怜,不断损害我国家利益、民族利益和社会公共利益,性质极其恶劣,情节极其严重,造成的恶劣后果甚至到了罄竹难书的地步。
国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室联合360数字安全集团,对台 APT组织进行了长期跟踪调查。截至目前,已查清并掌握包括APT-C-01(毒云藤)、APT-C-62(三色堇)等五个由台湾民进党当局豢养支持,并由台当局“ 国防部”下属“资通电军”直接操纵的黑客组织。
《报告》指出,APT-C-67组织(又名“乌苏拉”)于2025年4月对广州某科技公司实施了网络攻击,并造成重大损失。此后,经我国警方调查确认,对20名参与实施上述网络攻击活动的犯罪嫌疑人进行悬赏通缉。
非法网络攻击:有具体战术与武器
据《报告》披露,台APT组织网络攻击时有具体的战术与武器。
首先,台APT组织通常使用境外的 “Shodan”“Censys”等网络资产测绘平台,对位于中国大陆和港澳地区的网络资产进行探测和信息收集,主要内容包括:资产类型、IP地址、开放的网络服务端口、网络服务名称、版本信息等。还会通过网络搜索引擎、目标单位官方网站和媒体矩阵、行业主管部门官方网站、目标人员社交媒体账号等,全方位收集与目标单位及其人员相关的基本信息,包括单位名称和人员姓名、办公地点、行业领域、电子邮件、行业上下游单位等。
同时,台APT组织还会收集与目标单位和个人密切相关的时事主题和符合该行业特点的公开资料,作为其后续制作钓鱼网站、钓鱼邮件、诱饵文档的原始素材。
初始入侵:准备诱饵文件
在初始入侵阶段,台ATP组织会准备诱饵文件。在诱饵文件主题的选择上,台APT组织会通过前期网络探查活动,从互联网上公开收集大量与攻击目标有关或攻击目标感兴趣的主题,从中选出与我国政治经济、社会发展等时事密切关联的内容。台APT组织在其钓鱼网站制作工具的模板源码中写入诱饵文件列表,用于对不同行业领域的受害者请求分别进行解析并有针对性地下发相应的诱饵文件。
之后,台APT组织通过前期网络探查,以受攻击目标经常访问或有可能访问的网站作为仿冒对象,搭建仿冒网站,在仿冒网站中植入恶意代码或包含恶意代码的诱饵文档,随后通过搜索引擎“投毒”(SEO)、钓鱼邮件、第三方网站链接跳转等方式,引诱受害目标访问钓鱼网站。台APT组织通过仿冒国内流行的电子邮件服务网站,一方面诱骗邮箱持有人输入用户名和口令非法获得邮箱登录权限并实施邮件窃取;另一方面诱使邮箱用户点击下载诱饵文档,投送木马病毒。
手段:频繁仿冒大陆各级政府部门网站
台APT组织还频繁仿冒大陆各级政府部门网站,受害者访问后会自动运行网页中嵌入的恶意脚本,从而自动加载 auto-download.zip,指向恶意文件下载。
台 APT组织还会普遍使用“钓鱼”邮件攻击。台APT组织经常借用时事、政治或热点舆情,精选主题,编造与我境内目标单位或人员密切关联的电子邮件,以多种格式的压缩文件作为邮件附件,在压缩文件(以RAR为例)中包含恶意LNK文件和恶意RTF文档,LNK文件通过 mshta.exe 访问远程命令控制服务器(C2)执行HTA文件;再由HTA文件进一步将木马病毒下载至受害者主机并运行,完成初始入侵。
台APT组织通常使用美国微软公司Windows操作系统和Office办公软件等流行软件产品的已知漏洞,以及国内较为流行的文档管理系统、办公自动化系统(OA)、CRM管理系统、 视频安防监控系统等应用系统漏洞实施攻击。
台APT组织多使用常见的基础方式实现在目标系统中的持久驻留,如计划任务、注册表启动项、开机启动文件夹等。其中,利用Windows 计划任务的频率较高。他们经常冒用流行软件、系统软件或安全软件的名称作为计划任务名称来迷惑受害单位及其系统运维人员。
初始入侵后 进一步向重要网络资产渗透
完成初始入侵后,台APT组织会进一步向受害目标系统内网其他重要网络资产进行渗透。在此阶段,台APT组织通常会借助开源或免费公开的系统管理工具实现对内存中用户登录凭据(用户名和口令)的嗅探窃取。台APT组织会利用窃取到的用户凭据,结合扫描工具探测并远程访问目标单位内网中的其他网络资产,实现横向移动,并试图获得系统管理员权限。
台APT组织在实现初始入侵后,经常会调用Windows系统程序InstallUtil.exe 加载恶意程序以规避操作系统和安全软件的进程白名单检查,隐藏恶意代码的执行痕迹。
台APT组织使用多种开源和商业渗透测试工具生成木马程序,实现对受害主机的文件窃取、远程实现各种恶意操作。有时也会使用免费的远程管理工具实施犯罪活动。
《报告》:网络攻击技战术能力处于较低水平
《报告》称,通过对近期台APT 组织相关攻击案例的溯源调查和技术分析,不难得出这些台湾民进党当局黑客组织网络攻击技战术能力仍处于较低水平的判断。主要展现在:一是主要使用已知漏洞进行攻击,自主漏洞挖掘和利用能力低下,缺乏高级“零日”漏洞储备。二是高度依赖公开互联网资源,包括免费或开源代码、木马、工具和商业渗透测试框架,以及公开的网络攻击技战术资料,缺乏自主的网络武器和技战术开发能力。三是反溯源追踪能力弱,尤其是在诱饵文档和钓鱼网页的制作方面,经常漏洞百出,表明相关组织及其人员专业能力不足,归因较为容易。
“天欲其亡,必令其狂”。《报告》指出,台湾民进党当局及其豢养的黑客组织展现出的拙劣演技和低下水平,如同“蚍蜉撼树”般可耻可笑,除了粉饰其“台独”幻想“泡沫”之外毫无意义。如不悬崖勒马,必将自食恶果。
《报告》发布方表示,从即日起,台“资通电军”及其豢养的网络黑客将被纳入技术团队的工作视线,将动用一切必要手段密切跟踪相关人员及其“幕后主子”的一举一动,全面搜集其犯罪证据,誓将令其受到法律的惩处,不达目的,绝不收兵。
《报告》的发布,也在提醒社会各界,要高度重视网络安全,提升自身的网络防护能力。
文|记者 李钢