中国网络间谍活动 UNC4191 利用 USB 设备进行攻击

主要重点

• UNC4191 是涉及中国的网络间谍行动，主要针对东南亚的公共和私营部门。
• 自 2021 年 9 月 以来，该行动已影响到来自东南亚、亚太、日本、欧洲及美国的多个组织。
• 利用合法签署的二进制文件，攻击者能够实现恶意软件的加载。
• 涉及的恶意软件家族包括 DARKDEW 、MISTCLOAK 和 BLUEHAZE ，允许反向连接和自我复制，有助于在孤立系统中传播恶意软件。
• 研究者指出此活动反映中方努力获取并维持对公共和私营实体的访问，以收集与中国政治及商业利益相关的情报。

根据的报导，怀疑是中国主导的网络间谍行动 UNC4191 正在利用 USB设备针对东南亚地区的目标进行攻击。根据 Mandiant 的报告，自 2021 年 9 月 起，UNC4191针对的对象涵盖了东南亚及亚太、日本、欧洲和美国的多个公共和私营部门组织，并显示所有受影响系统均位于菲律宾境内。

攻击手法与影响

研究人员指出，攻击者使用合法签署的二进制文件来促使在初次入侵后的恶意软件侧载。所使用的恶意软件家族包括 DARKDEW 、MISTCLOAK
和 BLUEHAZE ，这些恶意软件能够提供反向壳以实现后门访问，并具备自我复制的能力，这使得它们能够在隔离系统中进行传播。

这种不断的攻击行动显示了中国努力获取和维持对公共和私营实体的访问，以收集与其政治和商业利益相关的情报。

此事件强调了在当今数位环境中，资安防护的重要性与迫切性。组织和个人必须加强防范措施，防止类似的网络威胁，确保资料安全。