【安全资讯】TAG-100全球间谍活动：利用开源工具进行攻击

概要：

TAG-100是由网络安全公司Recorded Future新发现的一个网络间谍组织。该组织通过利用互联网设备的漏洞，针对全球高调的政府、跨政府和私营部门组织进行了一系列复杂的攻击。这些攻击不仅影响了多个国家的外交和行业组织，还对全球网络安全构成了重大威胁。

主要内容：

TAG-100的主要攻击手段是利用互联网设备的漏洞获取初始访问权限，然后部署开源的远程访问工具如Pantegana和SparkRAT。这些设备包括Citrix NetScaler ADC和Gateway、F5 BIG-IP、Zimbra Collaboration Suite、Microsoft Exchange、SonicWall、Cisco ASA、Palo Alto Networks GlobalProtect和Fortinet FortiGate等。由于这些设备通常具有有限的可见性、日志记录能力和对传统安全解决方案的支持，使其成为威胁行为者的理想目标。

TAG-100的攻击活动已经影响了至少十个国家的组织，包括亚太地区的两个主要跨政府组织的秘书处、外交实体、外交部、行业贸易协会、半导体供应链组织、非营利部门和宗教部门。TAG-100使用了多种开源和进攻性安全工具，包括Pantegana、SparkRAT和LESLIELOADER。这些工具支持跨平台的操作系统，并使用HTTPS进行命令和控制（C2）通信。

TAG-100还使用了传统的Windows Cobalt Strike Beacon有效载荷和开源的跨平台CrossC2生成的Linux系统Beacons。这种工具使用的多样性突显了该组织适应不同环境和目标的能力。尽管TAG-100的确切身份尚不明确，但其目标和战术的性质表明可能与国家支持的行为者有关。网络安全专家敦促组织优先考虑互联网设备的安全，实施强大的漏洞管理实践，并增强检测和响应能力，以减轻此类复杂网络威胁带来的风险。