近日,安恒信息猎影实验室在在日常威胁狩猎过程中发现Confucius利用LNK文件传播C#文件窃取器的攻击活动。此活动使用巴基斯坦电信管理局发布的安全上网指南为诱饵文件,下发多阶段恶意软件,具有隐蔽的持久化驻留、文件窃密等特点。为方便跟踪,我们将Confucius在此次活动中使用的文件窃密器命名为River Stealer。此次捕获的Confucius攻击样本特征如下:1. 使用ZIP+LNK文件的形式作为初始攻击负载;2. LNK文件读取自身数据并释放VBS到本地;3. VBS脚本及后续释放的DLL文件中均含有大量无效数据填充。
Confucius是一个印度APT组织,最早可追溯至2013年。研究人员在进行日常APT Hunting工作时,发现Confucius组织似乎又开始活跃,仅2023年8月28日的Hunt就捕获到了19个新的MessPrint样本。经过分析发现该样本为2023年2月份的v6.1.0版本,对比1月份披露的v3.1.0版本进行了如下更新:更新了加密算法和密钥,疑似为免杀操作;更新了C2控制指令的明文格式;移除了日志记录功能;移除了部分指令;更新反分析技术。
11月30日,研究人员捕获了一起针对巴基斯坦木尔坦地区武装力量的网络攻击事件,攻击者以木尔坦的罗德兰区基于情报的反恐行动(intelligence-based operation,IBO)报告为诱饵,尝试投递一种变种木马程序MessPrint以控制受害者设备。经分析,该事件的主导者为印度APT组织Confucius。本次攻击事件中,Confucius攻击者沿用了其常见的诱饵构建模式,并且使用了该组织已知攻击工具MessPrint的新版本变种程序。
近日,Confucius组织在针对巴基斯坦警方的网络钓鱼攻击活动中,使用了与Pegasus间谍软件相关的诱饵。Confucius组织于2013年首次出现,是由印度资助的高级威胁组织,依赖社会学工程,攻击目标通常是南亚国家的特定人群,例如军人和商人等。此次网络钓鱼活动于8月初开始,攻击者利用 Pegasus 间谍软件相关的诱饵诱使受害者打开恶意文档并下载文件窃取程序。 简况Confucius组织在第一阶段向目标发送一封没有恶意负载的电子邮件,其中包含从合法的巴基斯坦报纸文章中复制的内容。攻击者发件人地址伪造成巴基斯坦武装部队的公关部门。两天后,攻击者向目标发送第二封电子邮件邮件内容据称是巴基斯坦军方关于 Pegasus 间谍软件的警告,主题是“以色列间谍软件入侵巴基斯坦国防人员手机”,文档中包含指向恶意加密 Word 文档的 cutt.ly 链接和解密密码。
近日,研究人员发现了两种新颖的Android间谍软件,分别是Hornbill和SunBird,并以高度可信地将这些间谍软件归因于Confucius(魔罗桫)APT威胁组织。Confucius于2013年首次出现,是由印度资助的高级威胁组织,主要针对巴基斯坦和其他南亚目标进行攻击活动。Confucius最初以Windows平台恶意软件而闻名,自2017年才开始使用Android间谍软件ChatSpy进行恶意监视活动。然而,在对Hornbill和SunBird进行详细分析后,魔罗桫或在使用ChatSpy前就开始了其长达一年的监视活动。
Lookout威胁情报团队发现两种新型Android监视软件:Hornbill和SunBird,并且其已被APT组织Confucius使用。活动新样本在2020年12月被发现,值得关注的攻击目标包括巴基斯坦原子能委员会申请职位的个人,在巴基斯坦空军的个人,位于巴基斯坦Pulwama区负责选民名册的官员。Hornbill和SunBird具有完善的功能,可以提取SMS,加密的消息应用程序内容和地理位置以及其他类型的敏感信息。SunBird被伪装成以下类型应用程序:安全服务,例如虚构的“ Google安全框架”;绑定到特定地点的应用程序(克什米尔新闻)或活动(“ Falconry Connect”和“ Mania Soccer”)APP;伊斯兰教相关应用程序(古兰经)。 此外,SunBird还可以执行以下操作:从FTP共享下载攻击者指定的内容;如果可能,以root用户的身份运行任意命令;通过可访问性服务爬取BBM消息和联系人;通过无障碍服务获取BBM通知。
近期,研究团队监测到“魔罗桫”组织针对南亚军工企业的攻击活动。该组织利用诱饵文档“China Cruise Missiles Capabilities-Implications for the Indian Army.docx”。经过深入追踪,文档内容摘抄自印度的orfonline站点,里面包含了英文的导弹技术报告,意在瞄准军工企业。受害者打开文档后,会触发office公式编辑器漏洞,进而下载执行恶意软件Warzone RAT,实现长期控制主机和窃密敏感资料的目的。我们从技术等多维度对比了该组织上一次利用热门话题的攻击活动,本次攻击依然沿用了
MMCore针对南亚地区的APT攻击活动分析,MMCore是一款有趣的恶意文件,为下载器下载后在内存中解密执行的一个恶意文件。该恶意文件也被称为BaneChant,最早由fireeye在2013年曝光。此外Forcepoint也在2017年初曝光过而恶意文件的一些攻击活动。 该恶意文件的活动,主要活跃在亚洲地区,包括中国、巴基斯坦、阿富汗、尼泊尔等。不过Forcepoint也提到该攻击活动也包含非洲和美国。攻击的目标主要为军事目标、媒体、大学等。
BlackBerry研究人员发布报告分析了APT组织利用移动平台开展间谍活动的情况,披露了已知和新发现的APT组织进行的几次新的攻击活动。重点包括:黑客攻击组织WINNTI,以针对全球游戏公司,制药巨头,工业制造,化工公司和美国国防相关企业的桌面恶意软件活动而闻名;另一个疑似来自中国的APT组织,被称为REAVER(又名SUTR),其攻击活动涉及台式机恶意软件以及一系列针对西方经济和政府间谍活动目标;其他一些与中国相关的APT组织也与其相关,有LOTUS BLOSSOM和SCARLET MIMIC;研究人员关注的另一重点是跨平台(移动和桌面恶意软件)间谍活动。新近确定的来自中国的APT组织,黑莓研究人员将其称为BBCY-TA2,其攻击活动利用了新发现的适用于Android和Windows的恶意软件家族,被命名为PWNDROID3和PWNWIN1。该黑客组织从事经济间谍活动,其目标包括西方和南亚地区(除中国以外的)的电信和化学制造领域的主要企业,特别是德国、美国和加拿大。
BlackBerry研究人员发布报告分析了APT组织利用移动平台开展间谍活动的情况,披露了已知和新发现的APT组织进行的几次新的攻击活动。重点包括:黑客攻击组织WINNTI,以针对全球游戏公司,制药巨头,工业制造,化工公司和美国国防相关企业的桌面恶意软件活动而闻名;另一个疑似来自中国的APT组织,被称为REAVER(又名SUTR),其攻击活动涉及台式机恶意软件以及一系列针对西方经济和政府间谍活动目标;其他一些与中国相关的APT组织也与其相关,有LOTUS BLOSSOM和SCARLET MIMIC; 研究人员关注的另一重点是跨平台(移动和桌面恶意软件)间谍活动。新近确定的来自中国的APT组织,黑莓研究人员将其称为BBCY-TA2,其攻击活动利用了新发现的适用于Android和Windows的恶意软件家族,被命名为PWNDROID3和PWNWIN1。该黑客组织从事经济间谍活动,其目标包括西方和南亚地区(除中国以外的)的电信和化学制造领域的主要企业,特别是德国、美国和加拿大。
