注册
登录
| 关键词: 曹县 攻击 恶意 趋势科技 地址 WhiskerSpy 一个 Earth 组织 使用 |
被追踪为Earth Kitsune 的网络间谍威胁组织部署了一个名为WhiskerSpy的新后门,作为社会工程活动的一部分。 Earth Kitsune 至少从 2019 年开始活跃,众所周知,它主要针对对曹县感兴趣的个人使用自行开发的恶意软件,例如 dneSpy 和 agfSpy。先前记录的入侵需要使用水坑,利用谷歌 Chrome 和 Internet Explorer 中的浏览器漏洞来激活感染链。 根据趋势科技上周发布的一份新报告,最新攻击的不同之处在于转向了社会工程学,以诱骗用户访问与曹县有关的受感染网站。 这家网络安全公司表示,一个未具名的亲曹县组织的网站遭到黑客攻击和修改,以分发 WhiskerSpy 植入程序。攻击是在去年年底发现的。 报告地址:https://www.trendmicro.com/en_us/research/23/b/earth-kitsune-delivers-new-whiskerspy-backdoor.html 诱杀脚本已被注入网站的视频页面,随后使用安装程序(“Codec-AVC1.msi”)加载 WhiskerSpy。 但这次攻击也展示了一些巧妙的技巧,试图回避检测。这涉及仅向 IP 地址符合特定条件的访问者提供恶意脚本:
趋势科技指出,巴西的目标 IP 地址属于商业 VPN 服务,威胁行为者可能“使用该 VPN 服务来测试其水坑攻击的部署”。 持久性是通过滥用OneDrive 中的动态库链接 (DLL) 劫持漏洞或通过使用本机消息传递 API在每次启动网络浏览器时执行有效负载的恶意 Google Chrome 扩展来实现的。  与其他同类恶意软件一样,WhiskerSpy 后门具有删除、枚举、下载和上传文件、截屏、注入 shellcode、加载任意可执行文件的功能。 Earth Kitsune 并不是唯一一个追击日本目标的攻击者,因为趋势科技还详细介绍了另一个代号为Earth Yako 的入侵装置,该入侵装置袭击了该国的研究机构和智囊团。 该活动最近于 2023 年 1 月观察到,是先前已知的称为Operation RestyLink 的活动的延续。一部分攻击还针对位于tw的实体。 起点是伪装成公共活动邀请的鱼叉式网络钓鱼电子邮件。这些消息包含指向负载的恶意 URL,而负载又负责将恶意软件下载到系统中。 攻击的另一个特征是大量自定义工具,包括释放器 (PULink)、加载器 (Dulload、MirrorKey)、stagers (ShellBox) 和后门程序 (PlugBox、TransBox)。 顾名思义,PlugBox、ShellBox 和 TransBox 利用 Dropbox API 从 GitHub 存储库中硬编码的远程服务器检索下一阶段的恶意软件、接收命令以及收集和泄露数据。 Earth Yako 的确切来源仍然未知,但趋势科技表示,它发现该组织与 Darkhotel、APT10(又名 Stone Panda)和 APT29(又名 Cozy Bear 或 Nobelium)等其他黑客组织之间存在部分技术重叠。 该公司表示:“最近针对性攻击的一个特点是,它们转向了被认为与公司和其他组织相比安全措施相对薄弱的个人。” 参考链接:https://thehackernews.com/2023/02/north-korean-cyber-espionage-group.html |
| 本文出处: https://www.toutiao.com/article/7202813108828570169/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
