中国网络间谍活动：工业级数据外泄攻击

重点摘要

中国的网络间谍组织 ToddyCat 正在通过高级黑客工具，对亚太地区的政府机构，包括防务组织，发起隐秘的工业规模数据外泄攻击。研究者们指出，为了收集大量数据，攻击者使用各种自动化手段来提高数据采集效率，并建议组织加强网络防御措施。

最近，据 The Hacker News 报道，中国的网络间谍行动 ToddyCat 通过一系列先进的黑客工具，对亚太地区的政府实体发起了大规模数据外泄攻击，目标包括防务组织。此类攻击的隐秘性使其更具威胁性，且对国家安全产生了潜在的影响。

根据卡巴斯基的一份报告，ToddyCat 利用了 OpenSSH 创建反向 SSH 隧道，同时还使用了 Ngrok 和 Krong 代理进行指挥和控制流量的加密。此外，ToddyCat 也使用了改名后的 SoftEther VPN。这些入侵手段还涉及开源的 FRP 客户端、WAExp NET 程序、Cuthead NET 编译的可执行文件，以及能够提取浏览器 Cookie 和凭据的 TomBerBilpayload。

研究人员指出：“为了从多个主机收集大量数据，攻击者需要尽量自动化数据采集过程，并提供多种替代方案，以便持续访问和监控其攻击的系统。”研究者们呼吁组织加强网络防御，建议在防火墙的拒绝列表中添加流量隧道提供的云服务的 IP 地址和资源，同时确保浏览器中不存在存储的凭据。

建议措施： 在防火墙中列入流量隧道服务的 IP 地址 确保删除存储的浏览器凭据

通过实施这些措施，组织可以有效降低此类攻击对其系统和数据的影响，从而保护国家安全及相关机密信息的完整性与保密性。