【安全资讯】Billbug：针对东南亚的入侵活动持续进行

概要：

近期，Billbug间谍组织（又称Lotus Blossom、Lotus Panda、Bronze Elgin）在东南亚的入侵活动引起了广泛关注。该组织在2024年8月至2025年2月期间，针对多个组织实施了攻击，包括政府部门、航空交通控制机构、通信运营商及建筑公司。这一系列攻击不仅影响了多个国家的安全，还可能对地区稳定造成潜在威胁。

主要内容：

Billbug组织在此次入侵活动中使用了多种新型定制工具，包括加载器、凭证窃取工具和反向SSH工具。攻击者通过合法软件（如Trend Micro和Bitdefender）进行DLL侧载，加载恶意DLL文件，从而实现对目标系统的控制。例如，使用Trend Micro的tmdbglog.exe加载恶意DLL tmdglog.dll，后者能够读取并执行临时文件中的内容。

此外，攻击者还部署了新变种的Sagerunex后门，这是Billbug专用的工具，能够通过修改注册表实现持久化。此次活动的特点在于，攻击者使用了ChromeKatz和CredentialKatz等工具，专门针对Chrome浏览器中的凭证进行窃取，进一步增强了攻击的隐蔽性和有效性。

Billbug自2009年以来活跃于东南亚，主要目标为政府和军事组织。该组织的攻击手法不断演变，利用社会工程学手段进行钓鱼攻击，且其活动已导致多个高知名度组织的数据泄露。此次入侵活动的持续性和复杂性表明，网络安全威胁仍在加剧，相关机构需加强防护措施以应对潜在风险。