DEV-0147：中国黑客针对南美外交机构进行网络攻击

主要要点

• 中国威胁组织DEV-0147使用ShadowPad远程访问木马对南美外交机构展开攻击。
• 除了ShadowPad，该组织还利用QuasarLoader来进行病毒载荷的传递。
• 攻击涉及对本地身份基础设施的滥用，并使用Cobalt Strike进行指挥控制及数据外泄。

DEV-0147这一中国威胁组织最近针对南美的多个外交机构展开了网络攻击，使用了，意在促进网络渗透及持久访问。根据微软的报告，除了ShadowPad之外，DEV-0147还利用了QuasarLoaderwebpack加载器来支持更多的载荷传递。微软表示：“DEV-0147在南美的攻击包括后期利用活动，涉及对本地身份基础设施的滥用以进行情报收集和横向移动，并使用CobaltStrike进行指挥控制和数据外泄。”

另外，报告指出，其他中国黑客也曾使用ShadowPad进行攻击，其中包括对某个东盟国家的外交部进行入侵，这次入侵被标记为“REF2924”。ElasticSecurity Labs表示：“这个攻击组似乎专注于与赞助的国家战略利益一致的优先事项，这在各个活动中均可观察到。”

中国威胁行为者的活动越来越频繁，尤其是在国际外交领域，这引起了各界的高度关注。

攻击者 | 主要工具 | 目标 | 增强传递
—|—|—|—
DEV-0147 | ShadowPad, Cobalt Strike | 南美外交机构 | QuasarLoader
其他黑客 | ShadowPad | 东盟国家外交部 | –

对于企业和政府机构而言，加强防御措施及监控可疑活动显得尤为重要。随著网络威胁不断演变，对应的安全防护策略也需随之做好调整。希望相关机构能在此背景下采取更有效的应对措施，确保资讯安全与国家利益的保障。