中国网络间谍活动针对南欧IT服务商

关键要点

• 南欧的B2B IT服务提供商成为了中国网络间谍行动的目标。
• 攻击活动名为“数字眼行动”，涉及利用Visual Studio Code Remote Tunnels和Microsoft Azure基础设施。
• 攻击者使用SQL注入等技术进行入侵，并通过PHPsert webshell展开后续活动。
• 研究人员指出，攻击者通过合法开发工具掩盖恶意行为。

最近的报告显示，南欧的主要商业对商业（B2B）IT服务提供商被疑似中国的网络间谍活动所针对。这一攻击活动被称为“数字眼行动”，发生在6月至7月期间，涉及利用 Remote Tunnels和Microsoft Azure基础设施进行指挥控制，报道说。

根据SentinelOne SentinelLabs与TinextraCyber的联合报告，这些网络威胁行为者在数据泄露发生前就被阻止。他们最初通过SQL注入攻击互联网暴露的应用程序和数据库服务器，随后进行PHPsertwebshell的分发，进行侦查、凭证泄露、横向移动以及定制的Mimikatz注入以进行哈希劫持的入侵。随后，攻击者利用VSCode RemoteTunnels和SSH来实现远程代码执行。研究人员表示：“在这次行动中，Visual Studio Code RemoteTunnels的滥用展示了中国APT（高级持久性威胁）团体如何依赖实用、解决导向的方法来避开检测。通过利用一个受信任的开发工具和基础设施，威胁行为者旨在将其恶意活动伪装成合法活动。”

关键技术 | 描述
—|—
SQL注入 | 入侵互联网暴露的应用和数据库服务器
PHPsert webshell | 用于后续恶意活动的分发
Mimikatz注入 | 进行哈希劫持的入侵技巧
Visual Studio Code | 作为掩盖恶意行为的开发工具

此外，该报告强调了针对技术工具和基础设施的利用，突显了网络安全领域的重要性。随着网络威胁的演变，各企业应加强防范和响应措施，以保护自身数据安全。