中国关联的GopherWhisper攻击12个蒙古国政府系统

执行摘要

ESET 发现了一个之前未被记录的与中国有关的高级持续性威胁（APT）组织，被追踪为 GopherWhisper，该组织至少入侵了12个蒙古国政府系统。该组织主要使用 Go 语言编写的工具集，利用注入器和加载器部署和执行各种后门。该活动突显了针对蒙古国政府机构的持续国家资助网络间谍活动。

技术分析

根据 ESET 与 The Hacker News 共享的报告，GopherWhisper 的武器库包括定制的基于 Go 的恶意软件，这些恶意软件旨在隐秘地保持持续性和数据泄露。该组织使用注入器将后门有效载荷加载到合法进程中，从而规避传统的基于签名的检测。加载器是模块化的，允许操作者在入侵后交换或更新后门组件。ESET 没有透露具体的感染向量，但指出攻击似乎针对蒙古国政府网络环境量身定制。

缓解措施与建议

政府部门的防御者应该监控 Go 编译的二进制文件的异常执行，特别是那些具有混淆或不寻常导入表的文件。网络分割和严格的出站流量过滤可以限制后门命令和控制通道。组织还应该实施应用程序白名单和行为检测规则，以应对 GopherWhisper 的加载器常用的进程注入技术。