瑞星威胁情报平台近期发现针对国内用户的定向攻击活动,目标主要涉及政府及教育机构等关键领域。攻击者利用MSI TRANSFORMS技术的新手法,通过在MST文件中植入恶意载荷,操控MSI安装程序的执行流程,在安装过程中加载并运行恶意代码。为提升隐蔽性,攻击者采用多阶段加载机制,通过释放和执行内嵌shellcode的恶意代码,在内存中运行木马,实现对目标主机的信息窃取和远程控制。溯源分析显示,该攻击活动与OceanLotus组织高度相关,表明其攻击能力显著增强,因此需高度关注并加强防护。
OceanLotus(海莲花)又名APT32、SeaLotus, 是一个具有东南亚国家背景的APT组织,其攻击活动最早可追溯到2012年。自2015年首次披露以来,该组织持续活跃至今,后续针对中国境内的攻击活动扩展到几乎所有重要机构,包括政府部门、科研院所、境内高校和金融投资机构等。
近日,WinRAR官方发布了新版本,版本号为7.12 beta1,其中修复了一个安全漏洞(漏洞编号为CVE-2025-6218),该漏洞仅影响Windows版本。用户在解压攻击者精心构造的压缩包时可导致包含特殊路径的文件被解压至预期之外的目录,这可能导致攻击者在用户设备上执行恶意代码
近日,瑞星威胁情报平台发现一起伪装成合法软件安装包的恶意攻击事件。攻击者将初始样本命名为Flash1.1.msi,冒充Flash安装包诱骗用户执行。随后,通过自定义脚本将样本内的恶意载荷在本地解压,并改名为wegame.exe,伪装成腾讯游戏客户端程序以迷惑用户。该程序运行后将内嵌在自身的远控木马在内存中动态执行,实现文件不落地攻击。远控木马通过与远程服务器通信,发送/接收数据,可能导致用户数据泄露或系统被控制。目前,该样本在VirusTotal上的检出率极低,目前仅瑞星独家检出。建议用户从官方渠道下载软件,并保持安全软件实时更新,以防范此类攻击。
瑞星威胁情报中心在4月时捕获到了具有南亚背景的APT组织SideWinder针对巴基斯坦的一次网络攻击,当时正值印巴间因恐袭事件关系紧张之时,此次捕获的载荷之一也曾借恐袭事件之名进行过投递。两国之间可谓积怨已久,军事对抗也时有发生,而网络层面的对抗更是时刻都在进行,此次便是其中一次,在本次攻击中SideWinder诱导用户下载带密码的压缩包,在压缩包中包含一个恶意chm文件与恶意载荷,诱导点击chm文件从而执行恶意载荷,此类直接通过chm文件执行恶意载荷的攻击手法在其历史攻击中也是比较少见的,类似手法只在同属于南亚APT的Mysterious Elephant中有过,其运行的载荷也均为接受服务器指令并执行,只是开发语言略有区别,南亚APT组织之间的技术手法、战术战略和武器库选择经常可以发现相似之处,有时连基础设施都会发现存在共用,本次攻击可能是SideWinder对该组织的一次借鉴。