中国 APT 黑客瞄准东南亚政府机构

2020-11-18 14:40:46 2 1905

网络安全研究人员今天公布了一项针对东南亚潜在政府部门受害者的复杂、有针对性的间谍攻击,他们认为,至少自2018年以来,一个成熟的中国APT集团实施了这种攻击。



网络安全研究人员今天公布了一项针对东南亚潜在政府部门受害者的复杂、有针对性的间谍攻击,他们认为,至少自2018年以来,一个成熟的中国APT集团实施了这种攻击。

Bitdefender在与《黑客新闻》分享的一项新分析中表示:"这次袭击有复杂而完整的投递器、后门和其他工具库,涉及奇诺西后门、PcShare RAT和 FunnyDream 后门二进制文件,法医文物指向一个成熟的中国演员。

值得注意的是,FunnyDream运动以前与马来西亚、台湾和菲律宾的高调政府实体有联系,大多数受害者都位于越南。


据研究人员称,不仅约有200台机器展示了与活动相关的攻击指标,证据表明,威胁参与者可能损害了受害者网络上的域控制器,从而允许它们横向移动,并有可能获得对其它系统的控制。

这项研究几乎没有得出关于感染是如何发生的线索,尽管人们怀疑攻击者利用社会工程引诱来欺骗不知情的用户打开恶意文件。

malware flow
在获得初始立足点后,发现多个工具被部署在受感染的系统,包括Chinoxy后门获得持久性,以及一个称为PcShare的中文远程访问特洛伊木马(RAT),这是GitHub上提供的相同工具的修改变种。

除了使用命令行实用程序(如任务列表.exe、ipconfig.exe、系统信息.exe和 netstat)来收集系统信息外,还安装了许多其他实用程序 (ccf32、FilePak、FilePakMonitor、ScreenCap、Keyrecord 和 TcpBridge)来收集文件、捕获屏幕截图、记录击键,以及将收集到的信息外化到攻击者控制的服务器。



调查还发现,从 2019 年 5 月开始,使用上述 FunnyDream 后门,该后门具有多种功能,用于收集用户数据、清除恶意软件部署的痕迹、阻止检测和执行恶意命令,其结果被传输回位于香港、中国、韩国和 越南 的指挥和控制 (C&C) 服务器。

研究人员总结说:"将 APT 样式攻击归于特定群体或国家可能极其困难,主要是因为法医人工制品有时可以有意种植,C&C 基础设施可以驻留在世界任何地方,而使用的工具可以从其他 APT 组重新使用。

"在分析过程中,一些法医文物似乎暗示了一个讲中文的 APT 组,因为一些二进制文件中的一些资源将设置为中文,而在竞选期间使用的 Chinoxy 后门是已知被讲中文的威胁行为者使用的特洛伊木马。


报告下载地址:https://www.bitdefender.com/files/News/CaseStudies/study/379/Bitdefender-Whitepaper-Chinese-APT.pdf

关于作者

lovefan39篇文章358篇回复

评论2次

要评论?请先  登录  或  注册