【安全资讯】国家级黑客组织发起全球'暗影行动'，37国政府及关键基础设施遭入侵

概要：

近期，一场代号为'暗影行动'的大规模网络间谍活动浮出水面，其规模与复杂性令人震惊。一个被高度确信源自亚洲的国家级威胁组织，在短短数月内对全球155个国家的政府实体进行了侦察，并成功入侵了其中37个国家的至少70个政府及关键基础设施组织网络。此次行动目标明确，直指各国核心部门，凸显了国家级网络间谍活动对全球政治、经济安全的严峻威胁。

主要内容：

Unit 42研究人员追踪该组织为TGR-STA-1030/UNC6619。其攻击目标高度聚焦于政府部委、执法机构、边境管控、金融、贸易、能源、矿业、移民及外交机构。攻击者根据特定地缘政治事件调整行动节奏，例如在美国政府停摆期间加强对美洲的扫描，并在洪都拉斯大选前密集侦察其政府IP地址。

攻击初始阶段主要依赖高度定制的钓鱼邮件，邮件内容常涉及政府部门内部重组等事务，诱使目标点击链接下载托管在Mega.nz上的恶意压缩包。压缩包内含名为Diaoyu的恶意软件加载器和一个零字节的PNG文件。Diaoyu加载器会执行严格的环境检查，包括屏幕分辨率要求和检查特定文件是否存在，以此规避分析。它还会检测卡巴斯基等安全软件的进程，并最终加载Cobalt Strike和VShell等C2框架。

除了钓鱼攻击，该组织还利用了至少15个已知漏洞进行初始访问，涉及SAP Solution Manager、Microsoft Exchange Server等多个系统。其工具库庞大，包含多种Webshell和隧道工具。研究人员还发现了一个独特的自定义Linux内核eBPF rootkit，名为'ShadowGuard'。该rootkit通过内核空间操作隐藏恶意进程和特定文件目录，极难被检测。

该行动的基础设施复杂，使用了位于美国、新加坡等地的合法VPS作为面向受害者的服务器，并通过中继服务器和住宅代理或Tor网络混淆流量。攻击已对全球数十个政府造成实质性影响，涉及贸易政策、地缘政治乃至选举进程，其行动成熟度表明这是一个以获取战略、经济和政治情报为优先任务的强大网络间谍实体。