瑞星威胁情报平台于2021年12月21日捕获了一起疑似威胁组织Patchwork对中国发起的攻击事件。攻击者可能利用钓鱼邮件等方式向目标分发带CVE-2017-11882漏洞的诱饵文档,该文档内容是个与中华人民共和国国家健康委员会相关的登记表,登记表内需要填写的内容包含姓名,出生日期,地址,邮箱以及电话等隐私信息。当成功诱使目标打开诱饵文档后,攻击者会利用文档漏洞执行一段shellcode,从而在目标系统内隐秘释放远控木马。
2023年11月,海莲花组织针对国内目标群体,以购买BMW汽车为主题,诱导目标打开一个含有恶意脚本代码的快捷方式,本次行动攻击方式与今年初APT29所使用的攻击手法较为相似,因而疑似是刻意模仿,该快捷方式伪装名称BMW_2023年机构及院士销售价格框架.pdf.lnk,一旦启动,将在本机释放恶意的可执行文件,注册自启动,并在最终执行一个CobaltStrike Beacon来建立持久的连接。
瑞星威胁情报中心捕获到一个名为Google Installer恶意程序样本,经分析确定该样本出自OceanLotus组织,该组织常用的攻击方法是白加黑,但此次换了另外一种攻击手法是伪装成为正常的安装软件,通过网络钓鱼的方式,诱导用户下载安装程序来执行恶意的操作。
瑞星威胁情报中心捕获到一批恶意程序样本,经分析确定这些样本出自于MuddyWater组织常用的恶意软件:PowGoop,SmallSieve后门。PowGoop是一种恶意的DLL加载程序,其包括合法命名的DLL,包含加密的ShellCode的.dat文件,以及包含加密的PowerShell代码的config.txt三个组件;SmallSieve是一个由Python写的恶意后门程序。