摘要:Hunting Shadow Lab网络安全研究人员发现新一轮针对中国科研机构的网络攻击 。活动被归咎于Patchwork APT,利用复杂的恶意软件和隐蔽技术来入侵工作站并窃取敏感数据。
E安全消息,Hunting Shadow Lab网络安全研究人员发现新一轮针对中国科研机构的网络攻击 。活动被归咎于Patchwork APT,利用复杂的恶意软件和隐蔽技术来入侵工作站并窃取敏感数据。
据悉,Patchwork组织(也称为Hangover和Dropping Elephant)被认为得到了印度当局的支持,自2009年以来一直从事网络间谍活动。
他们之前的活动主要集中在亚洲各国政府机构和科研机构,然而这次最新的行动显示了他们方法的精细化以及对获取科学研究相关的知识产权的持续兴趣。
攻击链从一封鱼叉式钓鱼邮件开始,其中包含恶意LNK文件,该文件伪装成与正在进行的中国研究项目相关的文件。
执行后,LNK文件将启动多阶段恶意软件传送过程。为避免引起怀疑,会显示良性PDF文档,同时在后台秘密下载和执行恶意EXE和DLL文件。
一份诱饵文件
资料来源:Hunting Shadow Lab
此活动中提供的主要有效载荷是BadNews恶意软件,这是一种专为隐身和持久性而设计的复杂后门。为了逃避检测,该恶意软件采用了多层混淆技术,包括加密和使用以前观察到的数字证书。
一旦激活,BadNews就会与命令和控制(C2)服务器建立安全的通信通道,使攻击者能够泄露敏感数据并发出进一步的命令。
此次行动的复杂性还体现在使用了模仿合法网站的假冒域名。
研究人员发现了属于巴基斯坦国际航空公司、Zong(巴基斯坦电信提供商)、Global News和Scandinavian Airlines网站的欺诈版本。
这些域名被用来托管其他恶意软件并促进数据泄露,利用这些实体已建立的信任。
对于组织来说,主动更新安全框架,集成当前的入侵指标(IoC),并利用高级威胁分析工具。此外,利用基于云的服务来分析可疑文件可以显着增强对此类攻击的防御。
印度制药巨头Cipla遭攻击,Akira勒索软件称窃取70GB数据
2024.12.11
德勤否认数据泄露,称Brain Cipher网络攻击影响了客户系统
2024.12.10
DroidBot:新型安卓木马,针对银行、加密货币交易所等金融机构
2024.12.9
注:本文由E安全编译报道,转载请联系授权并注明来源。
来源:小姚的科学世界