瑞星威胁情报平台于2023年5月捕获到一起疑似针对印度国防部门的攻击事件。攻击者使用快捷方式作为初始攻击武器,并通过双扩展名技术伪装成由印度军事单位发布的合法文件,以此诱骗目标用户。根据对该组织过往攻击行动的研究,推测初始武器可能是使用钓鱼邮件或社交软件等方式进行投递。在攻击行动的不同阶段中,攻击者使用了无文件落地、DLL侧加载等免杀技术,同时攻陷了来自印度的合法网站作为恶意载荷的下载服务器,并对下载数据进行了编码处理,以此躲避本地安全检测机制。在最后阶段则是使用了该组织常用的ReverseRAT等远控工具,对受害者主机进行信息窃取和远程控制。
瑞星威胁情报平台于2023年2月捕获到一起疑似针对印度政府部门的攻击事件。攻击者将诱饵文档伪装成安全机构提供给印度政府部门的安全研究报告,其报告主题为Android系统的威胁和预防措施,然后通过钓鱼邮件等社工方式进行分发。当受害者启动文档内嵌的宏代码后,将获取存储于远程服务器上的远控木马,释放于本地并执行,最终实现信息窃取和远程控制等功能。其使用的远控木马名为ReverseRAT,据相关研究报告披露,该木马疑似是由来自于巴基斯坦的攻击者所开发使用,且与SideCopy组织具有非常密切的关系。另外,通过将本次攻击行动感染链与SideCopy组织过往感染链的对比分析,将本次捕获到的攻击行动归属于SideCopy组织具有高可信度。
Saaiwc也被称为DarkPink,是一个主要针对于东南亚的APT组织。其主要目标是进行企业间谍活动,窃取文件。主要攻击方向包括军事机构、政府、宗教组织和非盈利组织。改组织最早被发现于2021年,曾在2022年期间发起多个攻击事件。主要攻击手段是通过鱼叉式网络钓鱼发送电子邮件构造虚假信息诱导目标打开附件。
瑞星威胁情报平台于近期捕获到一起针对中国的攻击事件,根据关联分析,将此次事件归属于Patchwork组织。攻击者使用伪装成pdf文档的快捷方式作为初始攻击武器,执行命令从远程服务器下载诱饵文档和恶意程序,并通过创建计划任务的方式实现本地持久化。其中下载的恶意程序由rust语言编写,负责在内存中执行开源工具Donut生成的shellcode。rust语言具有高级控制、内存安全性和灵活性等优点,而Donut则支持将任意exe、dll、.net程序集或部分脚本程序生成一个与执行位置无关的shellcode,这套武器组合隐蔽性强、安全性高,可以让攻击者投递不同类型的攻击武器,完成恶意目的。比如在本次事件中攻击者使用的武器就是名为NorthStarC2的远控木马,最终利用该工具实现了对目标主机的信息窃取及远程控制。
