研究人员表示，中国国家支持的黑客违反了数字证书管理局

一名疑似中国政府支持的黑客攻击了位于亚洲不同国家的数字证书颁发机构以及政府和国防机构，这是至少自2022年3月以来一场持续行动的一部分。

博通软件公司赛门铁克（Symantec）将这些攻击与一个以其名义追踪的敌对团体联系起来比尔布格牌手表，引用了之前归因于该参与者的工具的使用。这一活动似乎是由间谍活动和数据盗窃所驱动的，尽管据说迄今为止没有数据被盗。

Billbug，也称为青铜精灵、莲花花、莲花熊猫、春龙和颤栗，是一个高级持续威胁（APT）组织，据信代表中国利益运作。主要目标包括东南亚的政府和军事组织。

2019年，敌方发动的袭击涉及使用汉诺通和萨格鲁内克斯等后门，香港、澳门、印尼、马来西亚、菲律宾和越南也有入侵行为。

这两种植入物都被设计为允许对受害者网络进行持久的远程访问，即使已知威胁行为体在特定情况下部署了一种称为Catchamas的信息窃取器来窃取敏感信息。

赛门铁克研究人员在与《黑客新闻》分享的一份报告中表示：“针对证书颁发机构的攻击是值得注意的，就好像攻击者能够成功地对其进行攻击，以访问证书，他们可能会使用这些证书来签署具有有效证书的恶意软件，并帮助其避免在受害机器上被检测到”。

“它还可能使用泄露的证书拦截HTTPS流量”。

然而，这家网络安全公司指出，没有证据表明Billbug成功地泄露了数字证书。该机构表示，已将该活动通知了有关当局。

对最新一波攻击的分析表明，最初的访问很可能是通过开发面向互联网的应用程序获得的，然后使用定制工具和生活工具的组合来实现其运营目标。

这包括WinRAR、Ping、Traceroute、NBTscan、Certutil等实用程序，以及能够下载任意文件、收集系统信息和上载加密数据的后门。

攻击中还检测到一个名为Stowaway的开源多跳代理工具和Sagerunex恶意软件，该恶意软件通过Hannotog投放到机器上。就后门而言，它可以运行任意命令、丢弃额外的有效载荷和虹吸感兴趣的文件。

研究人员总结道：“这一行为体能够同时危及多个受害者，这表明这一威胁集团仍然是一个技术娴熟、资源充足的运营商，能够开展持续而广泛的活动”。

“Billbug似乎也没有被这一活动归因于它的可能性所吓倒，因为它重用了过去与该组织相关的工具”。