【安全资讯】TA397利用复杂的鱼叉式网络钓鱼技术在国防领域部署恶意软件

概要：

近日，Proofpoint研究人员发现了一个由南亚高级持续威胁（APT）组织TA397发起的新型鱼叉式网络钓鱼活动。该活动于2024年11月18日被观察到，主要针对国防领域的组织，采用高度针对性的诱饵，旨在部署恶意软件并窃取敏感信息。

主要内容：

此次攻击始于一封来自被攻陷政府账户的电子邮件，邮件主题为“2025年公共投资项目_马达加斯加”，与附带的压缩RAR档案中的文件内容相符。该RAR档案包含三个关键元素：一份详细介绍世界银行合法项目的诱饵PDF文件；一个伪装成PDF的恶意LNK文件；以及嵌入RAR档案中的替代数据流（ADS）文件。Proofpoint指出，RAR档案的使用是TA397投放有效载荷的常用策略。

当目标用户与恶意LNK文件交互时，嵌入的替代数据流被激活，执行经过base64编码的PowerShell代码，随后下载额外的有效载荷，包括知名的WmRAT和新工具MiyaRAT。感染链还建立了一个计划任务，确保持久性并与C2服务器（jacknwoods[.]com）进行定期通信。攻击者的命令促进了数据的窃取和额外有效载荷的投放。

TA397在其活动中使用了两种不同的远程访问木马（RAT）：WmRAT和MiyaRAT。WmRAT是一种老旧工具，能够收集系统数据、窃取文件并执行任意命令，而MiyaRAT则是TA397工具包中的新成员，采用先进的加密方法，专门针对高价值目标。该组织的基础设施和C2域显示出精心的规划，表明其活动与南亚政府的情报收集利益密切相关，主要目标包括EMEA和APAC地区的国防、能源、电信及政府组织。