美国自导自演的演习
受国家支持的中国黑客发起了一场鱼叉式网络钓鱼活动,将存储在 Google Drive 中的自定义恶意软件传播给全球的政府、研究和学术组织。
这些攻击发生在 2022 年 3 月至 2022 年 10 月之间,研究人员将其归因于网络间谍组织 Mustang Panda(青铜总裁,TA416)。
据趋势科技研究人员称,该威胁组织主要针对澳大利亚、日本、台湾、缅甸和菲律宾的组织。(美国自导自演的演习)
中国黑客使用谷歌账户向他们的目标发送带有诱饵的电子邮件信息,诱使他们从谷歌云端硬盘链接下载自定义恶意软件。
感染详情
在今天的一份报告中,趋势科技研究人员表示,黑客使用带有地缘政治主题的消息,其中大多数 (84%) 都针对政府/法律组织。
为了绕过安全机制,嵌入的链接指向 Google Drive 或 Dropbox 文件夹,这两个都是具有良好声誉的合法平台,通常不太可疑。
这些链接会导致下载压缩文件(RAR、ZIP、JAR)以及自定义恶意软件,例如 ToneShell、ToneIns 和 PubLoad。
“电子邮件的主题可能是空的,或者可能与恶意存档同名,”报告解释道。
“威胁行为者没有将受害者的地址添加到电子邮件的“收件人”标题中,而是使用虚假电子邮件。同时,真正的受害者地址被写在“CC”标题中,这可能会逃避安全分析并减慢调查速度。” –趋势科技
尽管黑客使用了各种恶意软件加载例程,但该过程通常涉及在受害者启动存档中存在的可执行文件后进行 DLL 侧面加载。诱饵文档显示在前台以最大程度地减少怀疑。
恶意软件演变
此活动中使用的三种恶意软件变种是 PubLoad、ToneIns 和 ToneShell。
在该活动中使用的三个自定义恶意软件片段中,只有 PubLoad 曾记录在 2022 年 5 月的思科 Talos 报告中,该报告描述了针对欧洲目标的活动。
PubLoad 是一个 stager,负责通过添加注册表项和创建计划任务、解密 shellcode 以及处理命令和控制 (C2) 通信来创建持久性。
趋势科技表示,更高版本的 PubLoad 具有更复杂的反分析机制,这意味着 Mustang Panda 正在积极致力于改进该工具。
ToneIns 是 ToneShell 的安装程序,ToneShell 是最近活动中使用的主要后门。它使用混淆来逃避检测和加载 ToneShell,同时还在受感染的系统上建立持久性。
ToneShell 是一个直接加载到内存中的独立后门,通过实现自定义异常处理程序来混淆代码流。
这也可以用作反沙盒机制,因为后门不会在调试环境中执行。
来源:Trend Micro
连接到 C2 后,ToneShell 会发送一个包含受害者 ID 数据的数据包,然后等待新的指令。
这些命令允许上传、下载和执行文件,为 Intranet 数据交换创建 shell,更改睡眠配置等。
野马熊猫活动
趋势科技表示,最近的这次活动采用了与 Secureworks在 2022 年 9 月报告的相同的 Mustang Panda 技术、战术和程序 (TTP) 。
最新的活动显示出改进工具集和扩展能力的迹象,这增加了中国黑客收集情报和破坏目标的能力。
今年早些时候,Proofpoint 报道称,Mustang Panda 将其业务重点放在欧洲,目标是高级外交官。
大约同一时间的一份 Secureworks 报告发现了一场单独的 Mustang Panda 活动,这次针对的是俄罗斯官员。
2022 年 3 月,ESET 探索了 Mustang Panda 在东南亚、南欧和非洲的行动,表明中国间谍团伙 尽管有短期的集中活动,但仍是全球威胁。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 中国黑客使用Google云端硬盘在政府网络中植入恶意软件
