黑客利用假基金会攻击中国维吾尔族

位于中国和巴基斯坦的维吾尔族社区一直是正在进行的间谍活动的目标，目的是欺骗目标下载Windows后门，从他们的系统收集敏感信息。

根据Check Point research and Inc.发布的联合研究显示，“在伪装有效载荷方面付出了相当大的努力，无论是通过使用最新相关主题创建似乎源自联合国的交付文件，还是通过为声称资助慈善团体的非现有组织建立网站。”今天是卡巴斯基。

维吾尔族是起源于中亚和东亚的突厥少数民族，被认为是中国西北部新疆维吾尔自治区的土著。至少自2015年以来，政府当局对该地区进行了严密监控，将数十万人关进监狱和拘留营，政府称之为“职业教育和培训中心”

多年来，该社区也一直处于一系列持续网络攻击的接收端，这些攻击利用漏洞链和水坑安装间谍软件，旨在从电子邮件和消息应用程序中获取和过滤敏感数据，以及掠夺照片和登录凭据。

今年3月早些时候，Facebook披露，它利用自己的平台扰乱了一个由坏人组成的网络，以维吾尔族社区为目标，诱使他们下载恶意软件，以便监控他们的设备，并将“持续性操作”归咎于一个名为“邪恶之眼”的中国威胁行为人。

最新的网络攻击采用了类似的手法，攻击包括以讨论侵犯人权为借口向目标发送非主题诱饵文件（“UgyhurApplicationList.docx”）。钓鱼邮件的目的是诱使收件人在Windows计算机上安装后门。

在研究者观察到的另一种传染媒介中，一个被称为“突厥文化遗产基金会”的伪造人权基金会（TCAHF）。org“—；的内容抄袭了乔治·索罗斯（George Soros）创立的开放社会基金会（—）；被用作诱饵，下载一个自称是安全扫描程序的.NET后门，只用于连接到远程服务器并传输收集的数据，其中包括系统元数据、已安装应用程序和正在运行的进程的列表。

研究人员说：“TCAHF网站的恶意功能伪装得很好，只有在受害者试图申请资助时才会出现。”。“该网站随后声称，在为交易输入敏感信息之前，必须确保操作系统安全，因此要求受害者下载一个程序来扫描他们的环境。”

到目前为止，至少检测到两种不同版本的Windows植入物，一种叫做“WebAssistant”，可在2020年5月从rogue网站下载，另一种叫做“TCHFUpdate”，可在2020年10月下载。

这两家网络安全公司没有将攻击归咎于已知的威胁集团，而是根据Word文档中嵌入的VBA代码重叠，将入侵锁定在一个低至中等信任度的说汉语的对手身上。根据分析期间收集的遥测数据，到目前为止，在中国和巴基斯坦只有少数受害者被确认。

毫不奇怪，攻击背后的攻击者继续保持活跃并发展其基础设施，该组织在2021注册了两个新域名，这两个都重定向到马来西亚政府机构的网站，称为“登嘉楼伊斯兰基金会”，暗示威胁演员可能已经瞄准了马来西亚和土耳其的目标。

“我们认为，这些网络攻击的动机是间谍活动，行动的最终目的是在维吾尔族社区高调目标的计算机上安装后门，”Check Point的威胁情报主管洛特姆·芬克尔斯汀（Lotem Finkelsteen）说。“这些攻击旨在对受感染的设备进行指纹识别……[而且]据我们所知，这些攻击正在进行中，并且正在为未来的攻击创建新的基础设施。”