中国关联的SHADOW-EARTH-053攻击亚洲政府和北约国家

执行摘要

趋势科技发现了一起与中国有关的间谍活动，追踪为SHADOW-EARTH-053，目标是南亚、东亚和东南亚的政府和国防实体，以及一个欧洲的北约成员国政府。该活动依赖于鱼叉式网络钓鱼邮件传递定制后门以窃取敏感数据。初始报告中没有披露CVE或特定恶意软件家族名称。

技术分析

根据趋势科技的分析，SHADOW-EARTH-053操作者使用定制的鱼叉式网络钓鱼诱饵，冒充合法的政府或国防相关通信。有效载荷包括为持久访问和数据窃取而设计的定制后门。该组织的攻击目标跨越亚洲多个国家和至少一个欧洲北约成员国，表明其广泛的情报收集任务。趋势科技尚未发布详细的IOC或TTP，但根据基础设施、技术手段和目标模式，将该集群归因于中国国家支持的活动。临时名称SHADOW-EARTH-053表明这是一个正在进行的调查，并且正在进行跟踪。

缓解措施与建议

亚洲和北约成员国的政府和国防部门的组织应该检查传入电子邮件中可疑的附件或链接，特别是那些涉及区域安全或外交主题的。部署带有沙箱分析的电子邮件安全网关，以处理未知的有效载荷。启用终端检测和响应（EDR）遥测，以识别与定制后门相关的异常进程行为。网络分段可以限制横向移动，如果发生初始入侵。