Red Menshen Espionage Campaign
與中國有關聯的威脅行為體所進行的持續且極具戰略性的網路間諜活動已成功滲透到電信網路中。其主要目標是利用電信環境作為入口,監視和滲透政府相關基礎設施。
這項持續多年的行動歸因於名為「紅門神」的威脅集群,該集群也以「地球藍鴉」、「決斷架構師」和「紅魔18」等別名進行追蹤。至少從2021年起,該組織就持續以中東和亞洲的電信業者為目標,在關鍵系統中建立了根深蒂固的隱藏式存取權限。
目錄
數位休眠單元:先進的持久化技術
安全研究人員指出,這次攻擊活動中使用的入侵機制是電信網路中迄今為止發現的最隱密的機制之一。這些技術如同數位休眠單元,在啟動前一直處於休眠狀態,難以察覺。
攻擊者依賴一系列高度先進的工具和技術,其中包括:
- 在作業系統深處運行的核心級植入程序
- 可繞過傳統偵測方法的被動後門
- 用於收集敏感存取資料的憑證收集工具
- 跨平台指令與控制框架,實現靈活操作
這些能力使威脅行為者能夠保持長期持續存在,同時最大限度地減少可偵測的活動。
BPFDoor:核心中的隱形後門
這次攻擊活動的核心是BPFDoor ,這是一款基於 Linux 的後門程序,它展現了極高的隱蔽性和複雜性。與傳統惡意軟體不同,該植入程式不會在網路上留下任何可偵測的痕跡。
BPFDoor 不會開啟連接埠或維護可見的通訊通道,而是利用 Linux 核心中的柏克萊資料包過濾器 (BPF) 功能。它會在內部檢查網路流量,並且僅在收到特製的「魔法」資料包時才會啟動。
這種設計無需持續監聽或發送信標,有效地將隱藏的存取機制直接嵌入到作業系統中。結果是形成了一個幾乎完全隱形的入口點,極難透過傳統的監控工具偵測到。
初始入侵:利用邊緣基礎設施
攻擊鏈通常從針對面向互聯網的系統和邊緣設備開始。這些設備包括 VPN 閘道、防火牆和麵向 Web 的服務,特別是那些與主要企業技術相關的服務。
一旦獲得初始存取權限,攻擊者就會部署一系列後滲透工具來擴大控制範圍。這些工具包括 CrossC2 等框架,以及 Sliver、TinyShell、鍵盤記錄器和暴力破解工具。這些工具協同工作,能夠竊取憑證、進行內部偵察,並在受感染的環境中橫向移動。
雙組件架構:控制與激活
BPFDoor採用兩部分架構,旨在實現精準性和隱蔽性。其中一個元件駐留在受感染的系統中,被動監控傳入流量,尋找預設的觸發封包。一旦偵測到觸發封包,它便會啟動並建立一個遠端shell。
第二個元件是由攻擊者操控的控制器。該控制器會發送特製的資料包來啟動植入程序,並且還能在受害者的環境中運作。當部署在受害者內部時,它可以偽裝成合法的系統進程,協調其他感染,並促進系統間的受控橫向移動。
電信級監控:超越傳統後門
BPFDoor的某些變種展現出超越標準後門功能的能力。對流控制傳輸協定(SCTP)的支援使其能夠監控電信專用通訊。
這項功能使攻擊者能夠深入了解使用者活動、追蹤使用者行為,並有可能確定目標人員的實體位置。因此,BPFDoor 實際上充當了嵌入電信基礎設施的監控層,能夠對敏感操作進行長期、低雜訊的監控。
規避機制革新:全新變體與隱身強化
新發現的BPFDoor變種在架構上進行了改進,旨在增強其規避能力和使用壽命。主要改進包括:
- 在看似合法的 HTTPS 流量中隱藏觸發封包
- 強制使用固定的位元組偏移標記('9999')以實現可靠的激活檢測
- 引入基於ICMP的感染宿主間通信,實現低調交互
這些技術使惡意流量能夠與正常的網路活動無縫整合,從而顯著降低被偵測到的可能性,同時保持可靠的命令執行。
不斷演進的技術:深入堆疊
這次攻擊活動凸顯了攻擊者策略的更廣泛轉變。攻擊者不再僅僅依賴使用者空間惡意軟體,而是越來越多地將植入程式嵌入到運算堆疊的更深層,尤其是在核心和基礎設施層面。
由於電信環境的複雜性,包括裸機系統、虛擬化層、高效能網路硬體以及容器化的 4G/5G 核心元件,因此它們尤其容易成為攻擊目標。透過與合法服務和運行時環境集成,這些植入程序可以繞過傳統的終端防禦措施,並在很長一段時間內不被檢測到。
結論:網路間諜活動的新前沿
這次攻擊活動顯示網路間諜策略發生了重大演變。攻擊者利用電信基礎設施和核心級隱蔽機制,實現了對高度敏感環境的長期、低調存取。
諸如 BPFDoor 之類的先進工具,結合創新的規避技術和深度系統集成,對防御者而言是一個日益嚴峻的挑戰。偵測和緩解此類威脅需要增強對計算堆疊底層的可見性,並重新思考傳統的安全方法。
