地球龙之：新兴中国高级持续威胁集团

关键要点

• 针对性攻击 ：中国新的高级持续威胁组织“地球龙之”自2020年以来针对乌克兰、东南亚和东亚的组织。
• 定制工具 ：使用定制的Cobalt Strike加载器进行攻击，具备多种高级功能。
• 多次攻击 ：该组织先后侵入台湾的关键基础设施公司、政府机构及中国银行，并在2021年至2022年期间加大对航空公司、保险及城市发展实体的攻击力度。
• 相关性 ：地球龙之的攻击手法与另一国家赞助的威胁行动组“地球巴库”相似。

———

根据的最新报告，中国新成立的高级持续威胁组织“地球龙之”自2020年起，通过定制的CobaltStrike加载器对乌克兰、东南亚和东亚的组织展开攻击。根据TrendMicro的报告，地球龙之在2020年5月至2021年2月期间，入侵了多个台湾关键基础设施公司、一家台湾政府组织以及一家中国银行，利用的是名为Symatic的定制CobaltStrike加载器。该加载器具备API钩子移除、新进程注入生成、混淆处理和解密载荷注入功能。

在此次攻击活动中，地球龙之将多个公共工具整合到了它所使用的黑客工具中。在2021年8月至2022年6月之间，位于泰国和台湾的航空公司，以及菲律宾的保险和城市发展实体也成为了第二波地球龙之攻击的目标。这一轮攻击使用了具有多线程功能的新型定制加载器，通过诱饵文档来增加效率。执行完CobaltStrike后，该组织还使用了定制版本的Mimikatz，同时通过PrintSpoofer和PrintNightmare的漏洞进行特权提升。

地球龙之的攻击手法与另一国家赞助的威胁行动组“地球巴库”非常相似，这一现象反映出其背后可能有更深层次的国家支持和资源。对于相关机构而言，增强网络安全防护措施，成为应对此类威胁的当务之急。