中国APT组织利用SaaS API发起全球间谍活动，针对电信和政府机构

中国国家支持的威胁组织利用SaaS API发起全球间谍活动

谷歌威胁情报小组（GTIG）与Mandiant联合行业合作伙伴，成功瓦解了一起由疑似中国高级持续性威胁（APT）组织发起的复杂网络间谍活动。该行动针对全球电信运营商和政府机构，通过滥用SaaS API将恶意流量隐藏在合法网络活动中，以规避检测。

关键发现与技术细节

Mandiant追踪的威胁组织UNC5537，利用**软件即服务（SaaS）应用程序接口（API）**将恶意通信与正常流量混合，使攻击者能够在窃取受害网络敏感数据的同时逃避检测。

• 攻击目标：数十家跨区域电信公司及政府机构。
• 战术、技术与过程（TTPs）：
  • SaaS API滥用：攻击者利用合法SaaS平台API掩盖命令与控制（C2）通信。
  • 持久化机制：通过窃取凭证和后门维持对受害网络的访问权限。
  • 数据窃取：可能已窃取通话记录及内部通信等敏感信息。

尽管谷歌和Mandiant未披露与该攻击相关的具体CVE编号，但此次行动凸显了基于API的威胁在网络间谍活动中的日益增长趋势。SaaS平台因其受信任的特性，成为威胁行为者绕过传统安全控制的理想攻击向量。

影响分析

此次活动针对电信运营商和政府机构，表明攻击者具有情报收集和监视的战略意图。受损的电信网络可能使攻击者能够：

• 监控高价值目标的通信。
• 在地缘政治紧张局势升级时破坏关键基础设施。
• 窃取专有或机密信息，以获取竞争或战略优势。

SaaS API滥用的使用反映了APT战术的转变，传统检测方法（如基于特征的监控）可能无法识别伪装成合法API调用的恶意流量。

安全团队建议

特别是电信和政府部门的组织，应采取以下措施应对类似威胁：

1. 加强API安全

   • 对SaaS API使用实施速率限制、身份验证和异常检测。
   • 监控异常API调用模式，可能表明数据外泄。

2. 强化凭证卫生

   • 对所有特权账户强制实施多因素认证（MFA）。
   • 定期进行凭证审计，以发现被盗账户。

3. 改进网络监控

   • 部署行为分析技术，检测加密SaaS通道中的异常流量。
   • 对关键网络进行分段，限制威胁行为者的横向移动。

4. 整合威胁情报

   • 利用Mandiant和谷歌威胁情报源，及时了解新兴TTPs。
   • 与行业合作伙伴共享入侵指标（IOCs），提升集体防御能力。

结论

此次行动的瓦解展示了国家支持的网络间谍活动的演变趋势，尤其是利用受信任的SaaS平台实施恶意活动。随着威胁行为者不断优化其技术，组织必须采取主动的API安全措施和高级威胁检测手段，以应对这些复杂攻击。

更多详情，请参阅BleepingComputer的原始报告。