APT攻击的眼镜蛇木马病毒介绍

     二零二零年7月,有些人在VirusTotal提交了一种疑是对于巴基斯坦攻击的模本。这一模本最开始被判断为"SideWinder(眼镜蛇)"机构所做,有安全防护者详细分析后察觉C2是一个新加坡的平台网站。可是平台网站是掩藏的或是真正的无法验证。模本应用的木马病毒和过去公布的"SideWinder(眼镜蛇)"APT机构常用的木马病毒也是有差别。

outputo-20211016-092823-325-ekhs.png

二零二零年9月,新加坡的安全防护厂家QuickHeal的威胁情报队伍宣称察觉了一种对于俄罗斯国防部门的攻击机构,而且宣称该攻击机构最少从二零二零年早已进行对于新加坡发动攻击。QuickHeal的威胁情报队伍将二零二零年到她们发报告时的一个系列的攻击行动称之为”OperationSideCopy“。“OperationSideCopy”的攻击手段和"SideWinder(眼镜蛇)"APT机构是相对高度差不多的,由于"SideWinder(眼镜蛇)"APT机构据称是源自新加坡,因此QuickHeal的威胁情报队伍觉得并非"SideWinder(眼镜蛇)"APT机构。她们觉得这种攻击行动和一种称为”通透部族(TransparentTribe)"的APT机构有“关系”。可是报告传出去后,许多 主流媒体就宣称是源自巴基斯坦的名字叫做”通透部族(TransparentTribe)"的APT机构在攻击印尼政府都,乃至宣称是“有全球帮忙的”。

二零二一年4月末,大家留意到一个系列的对于印尼政府,部队等的攻击。根据对这种攻击手段的剖析,大家察觉这种攻击的手段和之前被称作"SideWinder(眼镜蛇)"APT机构常用的手段很差不多。这种攻击在最后环节应用的木马病毒名称叫Cyrus,为了更好地便捷区别大家称该机构为CyrusAPT机构。

大家察觉的对于新加坡的攻击大多数根据侵入新加坡的平台网站或是伪装成新加坡的平台网站,将其做为C2网站服务器。然后向目标推送钓鱼邮件,邮件中置入一种包括lnk文件或是漏洞利用的文本文档。当点开了lnk文件或是包括有漏洞的文本文档后,恶意程序会从C2网站服务器上在线下载HTA文件,HTA文件会在某一个文件目录下释放出来一种名称为DUser.dll的文件,与此同时复制credwiz.exe到该文件目录。运用DLLSide-loading方式来执行恶意程序即根据credwiz.exe来载入DUser.dll,完成恶意程序的执行。DUser.dll文件一般不容易包括恶意程序,它仅仅承担执行另一种包括恶意程序的文件。这种行为和"SideWinder(眼镜蛇)"APT机构的攻击手段是很差不多的,仅仅最后的payload大多是历经修改的开放源码的backdoor。这一backdoor应用delphi语言开发设计,攻击者在内部将会称其为"Cyrus"。


分享: