近日,瑞星威胁情报平台发现一起伪装成合法软件安装包的恶意攻击事件。攻击者将初始样本命名为Flash1.1.msi,冒充Flash安装包诱骗用户执行。随后,通过自定义脚本将样本内的恶意载荷在本地解压,并改名为wegame.exe,伪装成腾讯游戏客户端程序以迷惑用户。该程序运行后将内嵌在自身的远控木马在内存中动态执行,实现文件不落地攻击。远控木马通过与远程服务器通信,发送/接收数据,可能导致用户数据泄露或系统被控制。目前,该样本在VirusTotal上的检出率极低,目前仅瑞星独家检出。建议用户从官方渠道下载软件,并保持安全软件实时更新,以防范此类攻击。
瑞星威胁情报中心在4月时捕获到了具有南亚背景的APT组织SideWinder针对巴基斯坦的一次网络攻击,当时正值印巴间因恐袭事件关系紧张之时,此次捕获的载荷之一也曾借恐袭事件之名进行过投递。两国之间可谓积怨已久,军事对抗也时有发生,而网络层面的对抗更是时刻都在进行,此次便是其中一次,在本次攻击中SideWinder诱导用户下载带密码的压缩包,在压缩包中包含一个恶意chm文件与恶意载荷,诱导点击chm文件从而执行恶意载荷,此类直接通过chm文件执行恶意载荷的攻击手法在其历史攻击中也是比较少见的,类似手法只在同属于南亚APT的Mysterious Elephant中有过,其运行的载荷也均为接受服务器指令并执行,只是开发语言略有区别,南亚APT组织之间的技术手法、战术战略和武器库选择经常可以发现相似之处,有时连基础设施都会发现存在共用,本次攻击可能是SideWinder对该组织的一次借鉴。
瑞星威胁情报平台近期发现一起针对巴基斯坦的定向攻击活动,攻击者冒充巴基斯坦反恐部门,以安全简报为诱饵,向该国国家电信公司员工发送钓鱼邮件。不同于常见的LNK或Office文档附件,此次攻击使用检测率较低的IQY文件(Excel支持的互联网查询文件)。用户打开该文件后,Excel通过内嵌URL从远程服务器下载并执行批处理脚本。该脚本功能简单,负责下载缺少MZ头的可执行程序,在本地修复后运行。修复后执行的程序具备信息上传和下载功能,其中下载的恶意载荷就包括名为wmRAT的远控木马。该木马由南亚APT组织Bitter开发,支持与C2服务器通信,具备数据窃取、文件管理和远程控制等功能。
Bitter(中文名蔓灵花)是一个源自南亚地区的APT组织,具有浓厚的政治背景,其活动至少可追溯至2013年。该组织长期针对中国和巴基斯坦两国展开网络攻击,主要攻击目标包括政府部门、能源、电力、国防及军工等高价值单位,旨在窃取机密情报。
瑞星威胁情报平台近期捕获到一起针对韩国用户的攻击事件。攻击者通过钓鱼邮件定向投递快捷方式文件作为初始攻击武器,并利用双扩展名技术将其伪装成合法文档(如HWP、XLS、Docx等)。其中,HWP是韩国特有的办公文件格式,在政企机构中尤为常见。与以往使用定制化PE后门不同,此次攻击采用混淆的轻量化脚本作为后门工具,实现文件下载、上传等功能,并通过Dropbox、Google Drive等公共服务投递恶意载荷及进行C2通信。通过对本次捕获到的多个恶意样本进行分析,发现部分样本的最早创建时间可追溯至2021年,表明攻击具有长期潜伏的特点。这些手法与APT37组织高度吻合,体现出针对性强、持续时间长、隐蔽性高等特征。
APT37是一个活跃于朝鲜半岛的网络威胁组织,又名Konni、ScarCruft、Group123、TEMP.Reaper等。其目标包括俄罗斯、韩国以及周边国家地区,以窃取敏感信息为主,涉及航空航天、汽车、化工、金融、政府、医疗保健、制造和运输等领域。该组织的攻击活动最早可追溯到2012年,该组织习惯于使用脚本作为攻击武器,在近年来活动频繁,被数个国内外安全团队持续追踪和披露。