HackerNews 编译,转载请注明出处:
有疑似印度背景的威胁行为体被观察到使用恶意软件攻击欧洲外交部,该恶意软件能够从受感染主机窃取敏感数据。
Trellix 高级研究中心 (Trellix Advanced Research Center) 将此活动归因于一个名为 DoNot Team(又名 APT-C-35、Mint Tempest、Origami Elephant、SECTOR02 和 Viceroy Tiger)的高级持续性威胁(APT)组织。据评估该组织自 2016 年以来一直活跃。
Trellix 的研究人员表示:“DoNot APT 组织以使用定制开发的 Windows 恶意软件而闻名,包括 YTY 和 GEdit 等后门程序,通常通过鱼叉式钓鱼邮件或恶意文档进行传播。”
“该威胁组织通常针对政府机构、外交部、国防组织和非政府组织,特别是南亚和欧洲的相关机构。”
攻击链始于钓鱼邮件,其目的是诱骗收件人点击一个 Google 云端硬盘链接以下载 RAR 压缩包,从而为部署名为 LoptikMod 的恶意软件铺平道路。该组织至少从 2018 年起就专门使用此恶意软件。
根据 Trellix 的信息,这些邮件来自一个 Gmail 地址,并伪装成国防官员,邮件主题涉及意大利驻孟加拉国达卡国防武官的一次访问行程。
Trellix 在剖析感染过程时指出:“该电子邮件采用了支持 UTF-8 编码的 HTML 格式,以确保正确显示特殊字符(如‘Attaché’中的‘é’),这显示出攻击者为增加可信度而付出的细致关注。”
通过电子邮件分发的 RAR 压缩包中包含一个伪装成 PDF 文档的恶意可执行文件。打开此文件会导致 LoptikMod 远程访问木马执行。该木马能够通过计划任务在主机上建立持久性驻留,并连接到远程服务器以发送系统信息、接收后续指令、下载额外模块以及窃取数据。
它还采用反虚拟机技术和 ASCII 混淆技术来阻碍其在虚拟环境中的执行并逃避分析,从而大大增加了分析其功能目的的难度。此外,该攻击确保在受感染系统上只运行一个恶意软件实例,以避免潜在的干扰。
Trellix 表示,此攻击活动使用的命令与控制(C2)服务器目前已处于非活跃状态。这意味着相关基础设施要么被暂时停用或已失效,要么威胁行为体已迁移到完全不同的服务器。
C2 服务器处于非活跃状态也意味着目前无法确定发送给受感染端点的具体命令集,以及返回的响应数据种类。
研究人员说:“他们的行动以持续性监控、数据窃取和长期访问为特征,表明其具有强烈的网络间谍动机。尽管历史上他们主要关注南亚地区,但这次针对欧洲的南亚大使馆的事件,表明他们正将其目标明显扩展到欧洲的外交通信和情报领域。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
