深度欺骗:中国网络钓鱼活动劫持网络流量以针对外交官 笔记

深度欺骗:中国网络钓鱼活动劫持网络流量以针对外交官

Google 威胁情报小组发现了一个复杂的网络间谍活动,由中国(PRC)相关的行为者 UNC6384 发起,其目标是东南亚的外交官。该活动利用了捕获门户劫持技术,将用户重定向到一个恶意网站。随后,会投放一个带有数字签名的下载器 STATICPLUGIN,以启动攻击。最终目标是在内存中部署 SOGU.SEC 后门,也称为 PlugX。该攻击链采用了高级社会工程技术,包括有效的代码签名证书和中间人攻击技术。Google 正在积极保护用户,通过提醒受影响的个人并加强安全措施。他们还将识别出的恶意资源添加到了 Google Safe Browsing 列表中。恶意软件载荷被伪装成软件或插件更新,以欺骗目标。该活动利用了捕获门户劫持,伪装成 Adobe 插件更新,来投放初始恶意软件。登陆页面模仿合法的软件更新网站,并使用 HTTPS 和有效的 TLS 证书来增加可信度。Google 建议用户启用增强型安全浏览,保持设备更新,并使用两步验证。
CdXz5zHNQW_TP1M7SZQDA.png