2023年于今,东北亚宗旨代表性APT(高等执续性威迫)组织伪猎者(APT-C-60)的举止尤为庸俗,已屡次对政府机关和高校伸开袭击。这些袭击中使用了多种袭击火器,包括开源器用和自研坏心软件。袭击历程中,伪猎者组织通过HTTP和HTTPS左券与C&C做事器进行通讯。通讯数据庸俗经过XOR算法和编码进行加密,诚然这些加密形貌相对简短,但仍能在一定进程上对通讯数据进行保护,加多着重难度。
不雅成瞰云(ENS)-加密威迫智能检测系统不详对伪猎者组织使用的多款袭击火器进行灵验检出。
2 APT-C-60 伪猎者组织技战法伪猎者(APT-C-60)是一个活跃于东北亚地区的高等执续性威迫(APT)组织,初次走漏于2021年,但其袭击举止可追想至2018年。该组织主要通过垂钓邮件和0Day弊端等形貌入侵目的汇注,并推行信息窃取。伪猎者的袭击目的主要鸠合在野鲜和中国大陆的政府机关,以及波及商业与文化换取的关系单元。该组织具有多套邮件探针时刻,用于刺探目的单元和个东谈主使用的邮件客户端版块、办公软件信息等[2]。
伸开剩余85%该组织在推行袭击时,常使用LNK下载者进作歹意载荷的分发,且载荷的解密机制在往时两年内保执一致,展现出其高效且判辨的袭击口头。此外,伪猎者还使用了具备键盘记载、把柄盗取等功能的SpyGlace后门器用,旨在长期监控并窃取要津敏锐信息[1]。
表 1 伪猎者组织技战法追想
2.1 袭击历程
2023年,伪猎者组织期骗LNK文献下载多个坏心文献,并通过解密剧本解密出多个文献,包括加载器、下载器和踪影撤销器用。具体袭击历程如下图所示。
图 1 伪猎者袭击历程
2.2 加密通讯分析
2023年伪猎者期骗LNK文献从不同的做事器下载了3个文献conf.txt、wimserv.txt和pigment.hlp。其中pigment.hlp为Javascript撰写的解密剧本,conf.txt、wimserv.txt均为加密载荷。
图 2 下载解密剧本
2023年于今加密载荷数据结构共包含如下2种,第二种比第一种新增了2个字符“\\”。
图 3 第一种数据结构
图 4 第二种数据结构
使用伪猎者自界说编码表进行解密,即可解密出PE文献。自界说编码表由默许编码表异或3生成,具体为“BA@GFEDKJIHONMLSRQPWVUT[ZYba`gfedkjihonmlsrqpwvut{zy32107654;:(,>”。
图 5 加密载荷
图 6 不错解密出两个文献的加密载荷
2.3 执久化
伪猎者组织通过创建经营任求罢了执久化操作。
图 7 创建经营任务
伪猎者组织通过COM组件劫执罢了执久化。
表 2 添加注册表项
3 产物检测不雅成瞰云(ENS)-加密威迫智能检测系统不详对伪猎者组织使用的多款袭击火器进行灵验检出。
图 8 伪猎者NdBB下载者木马检出截图
4 追想东北亚宗旨APT组织庸俗袭取多阶段的袭击计谋,使用0Day弊端、下载器、加载器、信息网罗器用以及远控木马等徐徐浸透目的汇注。这些组织会期骗平素网站做事以及免费云霄存储空间来隐敝其举止,从而加多被检测的难度。在袭击推行历程中,通过伪装成国内闻明大厂的域名来拐骗受害者,同期会专门错开受害者的责任时辰分发坏心载荷,从而裁汰被实时发现的风险[2]。尽管这些袭击组织在免杀才能上相对较弱[2],但通过精密的阶段性袭击和灵验的伪装计谋,它们仍是不详顺利浸透并截至目的汇注,赢得最终的敏锐信息或数据。不雅成科技安全酌量团队将不断跟踪和分析东北亚宗旨APT组织使用的开源和自研木马,并不断优化检测才略,以妥当东北亚宗旨APT组织变化的加密通讯形貌,进一步防守加密汇注空间的安全。
5 IoC 6 参考集结[1]. WPS用户警惕!APT-C-60期骗WPS Office弊端部署SpyGlace后门
https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247545541&idx=1&sn=3e287b0b3ad08f9b440684d7eb685583
[2]. 微步在线 2023年威迫谍报及APT举止分析汇报
https://archive.threatbook.cn/threatbook/2023-ThreatBook-CTI-APT-Analysis-Report.pdf赌钱赚钱app
发布于:北京市