|
Bitter APT间谍组织,以针对南亚和东南亚的能源和政府部门而闻名,最近观察到其针对中国关键组织进行新一轮攻击。其TTP(技术、战术和程序)与过去的攻击一致,包括带有Excel和编译后的HTML帮助(CHM)附件的钓鱼邮件。 针对核能公司 Intezer研究员报告称,攻击始于向中国多家核能公司和学者发送的伪装邮件,假装由吉尔吉斯斯坦驻北京大使馆发送。 邮件提到了一个与核能相关的会议,由国际原子能机构(IAEA)、中国国际问题研究院(CIIS)和吉尔吉斯斯坦大使馆共同举办。 邮件中包含吉尔吉斯斯坦外交部真实官员的名字,以增加其合法性。 邮件敦促用户下载附带的RAR文件,其中包含所谓的会议邀请卡。然而,实际上,它包含一个恶意的Excel文件或CHM文件。 攻击流程 恶意的Excel或CHM文件旨在在感染的机器上建立持久性并下载进一步的有效载荷。 Excel文件包含一个方程编辑器漏洞。执行时,它将创建两个计划任务,每15分钟运行一次,并通过curl下载下一阶段的EXE有效载荷。 CHM文件用于执行任意代码。它用于创建一个计划任务,运行msiexec以从C2获取远程MSI有效载荷并执行它。 CHM文件有效载荷的另一种变体使用编码的PowerShell命令创建相同的计划任务,从而混淆活动。 尽管研究人员无法捕获用于二阶段攻击的实际有效载荷,但疑似为Bitter APT之前攻击中使用的键盘记录器、信息窃取器或RAT。 总结 Bitter APT多年来一直使用类似的攻击策略,包括钓鱼邮件。因此,建议亚太地区相关组织在收到来自未知实体的邮件时保持谨慎,并在继续之前仔细核实发件人的有效性。此外,CHM文件通常不被组织使用,应予避免。Bitter APT攻击中使用的所有策略都众所周知,通过对当前趋势的适当认识可以阻止它们。 |
|
|
来自: 小飞侠cawdbof0 > 《情报》
