据美国黑客新闻网站发布,一个此前被发现针对非洲、亚洲、北美洲、南美洲和大洋洲的全球政府及私营部门组织的疑似网络间谍活动集群,经评估是一个中国国家支持的威胁行为体。
Recorded Future一直在追踪以TAG-100为代号的活动,如今已将其归为一个名为RedNovember的黑客组织。微软也在对其进行追踪,并将其命名为Storm-2077。
这家万事达卡旗下的公司在与《黑客新闻》分享的一份报告中表示:“2024年6月至2025年7月期间,RedNovember(与Storm-2077存在重叠)针对全球知名组织的边界设备发动攻击,并在入侵过程中使用了基于Go语言的后门程序Pantegana和Cobalt Strike。”
该组织已将其目标范围扩大到政府和私营部门组织,包括国防和航空航天机构、航天机构以及律师事务所。
该威胁行为体可能的新受害者包括中亚的一个外交部、非洲的一个国家安全机构、欧洲的一个政府部门以及东南亚的一个政府。据信,该组织还入侵了至少两家美国国防承包商、一家欧洲发动机制造商以及东南亚一个以贸易为重点的政府间合作机构。
RedNovember首次由Recorded Future在一年多前记录在案,其详细说明了该组织在对Check Point(CVE-2024-24919)、思科、思杰、F5、飞塔、Ivanti、 Palo Alto Networks(CVE-2024-3400)和 SonicWall等多家公司的多款面向互联网的边界设备中已知的安全漏洞进行武器化利用以获取初始访问权限后,对Pantegana后期利用框架和Spark远程访问木马(RAT)的使用情况。
对虚拟专用网络(VPN)、防火墙、负载均衡器、虚拟化基础设施和电子邮件服务器等安全解决方案的针对性攻击,反映出一种趋势——其他中国国家支持的黑客组织也越来越多地采用这种方式,以侵入目标网络并长期保持存在。
该威胁行为者战术中一个值得注意的方面是使用了Pantegana和Spark RAT,这两种都是开源工具。采用这些工具可能是为了对现有程序进行重新利用以谋取利益,并混淆溯源工作,这是间谍行为者的典型特征。
这些攻击还涉及使用公开可用的基于Go语言的加载器变体LESLIELOADER,在受感染设备上启动Spark RAT或Cobalt Strike Beacon。
据称,RedNovember会利用ExpressVPN和Warp VPN等VPN服务来管理并连接两组服务器,这些服务器用于攻击面向互联网的设备,并与Pantegana、Spark RAT以及Cobalt Strike(一款被恶意攻击者广泛滥用的合法程序)进行通信。
2024年6月至2025年5月期间,该黑客组织的大部分攻击目标集中在巴拿马、美国、中国台湾地区和韩国。就在2025年4月,发现其针对与一家美国报纸以及一家美国工程和军事承包商相关联的Ivanti Connect Secure设备发起了攻击。
Recorded Future表示,它还确认,在某个南美国家对中国进行国事访问之前,有一个 adversary可能在针对该国的微软Outlook Web Access(OWA)门户。
该公司指出:“从历史上看,‘红色十一月’针对的国家和行业范围广泛,这表明其情报需求广泛且不断变化。‘红色十一月’迄今为止的活动主要集中在几个关键地区,包括美国、东南亚、太平洋地区和南美洲。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
