赛门铁克威胁猎人小组发现了一场针对东南亚知名组织的复杂网络攻击活动。 受害者包括两个国家的政府部门、一个空中交通管制组织、一家电信公司和一家媒体。 这些攻击至少从 2023 年 10 月开始,主要目的是收集情报。 攻击者使用了开源和 "离岸 "工具。 特别值得注意的是与中国 APT 组织有关的工具,包括 Earth Baku(又名 APT41、Brass Typhoon)。 该活动使用了大量工具,如:罗刹: Impacket:基于 Python 的网络协议操纵框架,大量用于远程命令执行: 基于 Python 的网络协议操纵框架,大量用于远程命令执行。 FastReverseProxy (FRP):一种将本地服务器暴露于公共互联网的开源工具。 PlugX (Korplug): 一种具有模块化功能的远程访问木马,最初与 Budworm (APT27) 等中国国家支持的组织有关。 Stowaway 代理工具: 一种多跳代理工具,可使网络流量绕过内部访问限制。
攻击者还利用合法应用程序进行 DLL 侧载,包括 2011 年的 Bitdefender 崩溃处理程序。 他们还大量使用 PowerShell、Windows 管理工具(WMI)和注册表编辑等 "离岸 "技术来躲避检测。 在其中一次记录在案的攻击中,攻击者从 2024 年 5 月开始潜入目标组织的网络,通过 WMI 执行命令并绕过用户账户控制(UAC)。 攻击者通过植入键盘记录器、反向代理和 Rakshasa 等工具,在数月时间内保持了立足点。 为了实现外渗,攻击者使用 WinRAR 将文件压缩成受密码保护的档案,然后上传到 File.io 等云存储服务。 赛门铁克指出:"这种延长停留时间和精心策划的方法凸显了威胁行为者的复杂性和持久性。
虽然由于战术、技术和程序(TTPs)的重叠,具体的归属仍然难以确定,但多种迹象表明与中国的 APT 组织有关联。 其中包括使用历史上与 Fireant (APT31)、Earth Baku 和 Budworm 相关的工具。 然而,正如赛门铁克所指出的,"由于这些组织中的许多经常共享工具并使用类似的 TTP,因此在这种情况下不可能确定具体的归属"。
信息来源:https://securityonline.info/high-profile-organizations-in-southeast-asia-hit-by-targeted-cyberattacks/
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局