黑客组织 CL-STA-0969 潜伏 10 月，向电信网络植入隐蔽恶意软件

东南亚电信组织近期遭国家级威胁组织CL-STA-0969定向攻击，该组织通过部署定制化工具实现对目标网络的远程控制。Palo Alto Networks旗下Unit 42实验室披露，2024年2月至11月期间监测到多起针对该地区关键电信基础设施的攻击事件，攻击者利用Cordscan等工具收集移动设备位置数据。

值得注意的是，调查人员在受感染系统和网络中未发现数据外泄证据，也未观察到攻击者尝试追踪或联络移动网络内部设备。研究人员强调：“该威胁组织具备极高的操作安全（OPSEC）规范，综合运用多种防御规避技术躲避检测”。

该组织自2020年起持续针对南亚、非洲电信实体实施情报窃取活动。部分攻击手法还与“LightBasin”（又名UNC1945）及金融犯罪组织“UNC2891”存在关联——后者以劫持ATM基础设施著称。

攻击者通过SSH认证机制的暴力破解获取访问权限，采用针对电信设备内置账户的定制化字典列表实施突破。

恶意工具链

1. AuthDoor：覆盖合法PAM模块实施凭证窃取，通过硬编码魔术密码维持持久访问
2. GTPDoor：滥用GPRS隧道协议控制面（GTP-C）在电信漫游网络建立隐蔽C2通道
3. EchoBackdoor：通过ICMP回显请求数据包被动接收指令，未加密返回执行结果
4. SGSN模拟器：模拟服务GPRS支持节点，绕过企业防火墙限制
5. ChronosRAT：模块化ELF后门支持远程Shell、键盘记录及端口转发
6. NoDepDNS：基于Golang的DNS隧道后门，通过原始套接字解析53端口UDP指令

防御规避

攻击组合利用DNS隧道传输流量、通过被控移动运营商中转通信、清除认证日志、禁用SELinux安全模块及进程名称伪装等技术。同时部署Microsocks代理、FRP反向代理及ProxyChains等公开工具，并利用Linux本地提权漏洞（CVE-2021-4034等）扩大控制范围。

本次披露恰逢中国国家计算机网络应急技术处理协调中心（CNCERT）指控美国情报机构：

1. 利用Microsoft Exchange零日漏洞（2022年7月-2023年7月）窃取中国军工企业国防情报
2. 针对高科技军事院校及科研机构实施数据窃取
3. 2024年7-11月通过电子文件系统漏洞攻击中国通信卫星企业

对此，美国前总统特朗普曾公开承认：“我们同样对他们实施网络行动，这就是世界的运行规则。”

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；