中国国家赞助的红高尔夫威胁行动

主要要点

• 红高尔夫行动与 Winnti (APT41) 有重叠，针对Windows和Linux系统进行攻击。
• 这一新型KEYPLUG后门于2021年5月至2022年2月期间针对多个美国州政府网络发动攻击。
• 最新的红高尔夫攻击可能旨在促进情报收集，使用了GhostWolf基础设施。
• 这些攻击显示出高操作频率及快速利用外部企业设备的漏洞。

根据
的报导，中国国家赞助的威胁行动红高尔夫（RedGolf）最近发动了一系列针对Windows和Linux系统的攻击，使用了名为KEYPLUG的自定义后门。这一后门首次由Mandiant报告，并在2021年5月至2022年2月期间对多个美国州政府网络发动攻击。尽管目前尚未确定红高尔夫最新运动的受害者，但来自RecordedFuture的报告显示，这些新攻击更有可能是为了加强情报收集工作的进行。

这些红高尔夫攻击涉及使用名为GhostWolf的基础设施，该基础设施拥有42个IP地址用于KEYPLUG的命令控制，并且利用了PlugX和CobaltStrike工具。根据RecordedFuture的评估，“红高尔夫将继续展现出高操作频率，并迅速利用面向外部的企业设备（如VPN、Firewall、邮件伺服器等）中的漏洞，以获得对目标网络的初步访问。”

以下是红高尔夫行动的一些关键资讯：

事件 | 详细信息
—|—
目标系统 | Windows和Linux系统
使用工具 | KEYPLUG后门、GhostWolf基础设施、PlugX 和 Cobalt Strike
攻击时期 | 2021年5月至2022年2月
攻击目的 | 促进情报收集

随著红高尔夫行动的持续发展，网络安全专家应警惕这些攻击所带来的潜在风险，并对相关系统进行加强防护。