2025年5月:Bitter组织针对巴基斯坦的攻击事件分析报告

概述

  瑞星威胁情报平台近期发现一起针对巴基斯坦的定向攻击活动,攻击者冒充巴基斯坦反恐部门,以安全简报为诱饵,向该国国家电信公司员工发送钓鱼邮件。不同于常见的LNKOffice文档附件,此次攻击使用检测率较低的IQY文件(Excel支持的互联网查询文件)。用户打开该文件后,Excel通过内嵌URL从远程服务器下载并执行批处理脚本。该脚本功能简单,负责下载缺少MZ头的可执行程序,在本地修复后运行。修复后执行的程序具备信息上传和下载功能,其中下载的恶意载荷就包括名为wmRAT的远控木马。该木马由南亚APT组织Bitter开发,支持与C2服务器通信,具备数据窃取、文件管理和远程控制等功能。

  Bitter(中文名蔓灵花)是一个源自南亚地区的APT组织,具有浓厚的政治背景,其活动至少可追溯至2013年。该组织长期针对中国和巴基斯坦两国展开网络攻击,主要攻击目标包括政府部门、能源、电力、国防及军工等高价值单位,旨在窃取机密情报。

2025年4月:APT37组织针对韩国用户的攻击事件分析报告

概述

  瑞星威胁情报平台近期捕获到一起针对韩国用户的攻击事件。攻击者通过钓鱼邮件定向投递快捷方式文件作为初始攻击武器,并利用双扩展名技术将其伪装成合法文档(如HWPXLSDocx等)。其中,HWP是韩国特有的办公文件格式,在政企机构中尤为常见。与以往使用定制化PE后门不同,此次攻击采用混淆的轻量化脚本作为后门工具,实现文件下载、上传等功能,并通过DropboxGoogle Drive等公共服务投递恶意载荷及进行C2通信。通过对本次捕获到的多个恶意样本进行分析,发现部分样本的最早创建时间可追溯至2021年,表明攻击具有长期潜伏的特点。这些手法与APT37组织高度吻合,体现出针对性强、持续时间长、隐蔽性高等特征。

  APT37是一个活跃于朝鲜半岛的网络威胁组织,又名KonniScarCruftGroup123TEMP.Reaper等。其目标包括俄罗斯、韩国以及周边国家地区,以窃取敏感信息为主,涉及航空航天、汽车、化工、金融、政府、医疗保健、制造和运输等领域。该组织的攻击活动最早可追溯到2012年,该组织习惯于使用脚本作为攻击武器,在近年来活动频繁,被数个国内外安全团队持续追踪和披露。

针对使用有效数签掩护的恶意攻击分析

概述

  近日瑞星威胁情报平台在日常运营中捕获到了一起使用有效数字签名进行伪装的恶意攻击,此次攻击中所使用的恶意文件在VirusTotal上的检出非常低,一度只有2家安全厂商检出。样本内部也进行了一定混淆,所使用的关键API与字符串均为解密后动态调用,且将解密C2的方法与文件名进行了绑定企图绕过沙箱分析和人工调试,最终回连C2获取后续的恶意载荷,接下来就对其进行详细分析剖析其使用的免杀方法。

2025年2月:SideCopy组织针对印度政府部门的攻击活动分析报告

概述

  瑞星威胁情报平台近期捕获到SideCopy组织发起的一起攻击事件。该组织仍采用zip+lnk组合的方式,通过钓鱼邮件或其他社工手段向目标用户进行投递。事件中使用的恶意快捷方式Security-Guidelines.lnk.pdf被伪装成pdf文档,诱导用户点击执行,然后通过内嵌命令将远程服务器上的恶意载荷下载到本地执行,最终执行恶意行为。与以往使用自建或公共服务器不同,此次事件中的下载服务器nhp.mowr.gov.in为合法网站,隶属于印度水资源部。攻击者成功入侵该站点并利用其托管恶意载荷,可有效规避安全检测机制,提高攻击成功率。根据事件中发现的诱饵文档内容、恶意载荷下载地址等证据,可以判定这是一起以网络安全指导为主题、针对印度水利部门相关人员的攻击事件。

  SideCopy是一个具有南亚国家背景的APT组织,因其攻击手法模仿南亚地区另一组织SideWinder而得名。据披露,该组织至少从2019年就开始活跃,主要针对印度、阿富汗等南亚国家的政府、国防和军事机构。