犯罪分子使用先进的RAT技术来攻击越南远程访问工具(RAT)。卡巴斯基研究人员表示,对其进行的进一步分析表明,该活动是由名为Cycldek(又名GoblinPanda、APT27和Conimes)的高级持续性威胁(APT)组织实施的,并补充说,该组织自2013年以来一直活跃。此活动中使用的名为FoundCore的恶意软件允许攻击者控制文件系统、操纵进程、捕获屏幕截图和执行任意命令。根据卡巴斯基周一发布的分析,这表明该组织攻击的复杂性有了显着提高。研究人员表示,这种防止恶意代码被防病毒软件分析的技术是该攻击组织的首创。“有效载荷的标头(攻击代码)是完全分离的,只包含一些断开连接的功能,通过这样做,攻击者使研究人员更难对恶意软件进行逆向工程,”他们解释道。.更重要的是,感染链的组件是紧密耦合的,这意味着有时很难甚至不可能单独分析单个组件,从而防止恶意活动被分析。”动态链接库也用于此活动(DLL)侧载技术,当合法签名的文件被加载并注入恶意DLL时,攻击者可以绕过安全产品的保护。据分析:“在最近发现的这次攻击活动中,DLL侧载感染链解密有效负载shellcode—FoundCore,它允许攻击者完全控制受感染的设备。”FoundCore的4恶意软件线程感染链中的最终有效负载是一个远程管理工具,使操作员可以完全控制受害者的机器。之后工具被执行,恶意软件启动四个线程,研究人员说。第一个线程将实现p通过创建服务来持久控制机器。第二种通过更改服务的Description、ImagePath、DisplayName等字段来隐藏服务的相关信息。三是为当前进程关联的镜像设置一个空的访问控制列表(DACL),阻止访问底层恶意文件。DACL是安装在ActiveDirectory对象上的内部列表,指定哪些用户和组可以访问该对象以及他们可以对该对象执行哪些操作。最后一个线程引导程序执行并与C2服务器建立连接。根据其配置,它还可以将自身的副本注入另一个进程。与服务器的通信可以在原始TCP套接字上使用HTTPS或RC4加密。在感染链中,研究人员发现FoundCore还下载了另外两个间谍软件。第一个是DropPhone,它收集受害机器的环境信息并将其发送到DropBox。第二个是CoreLoader,它可以帮助恶意软件逃避安全产品的检测。卡巴斯基高级安全研究员MarkLechtik在分析中表示:“总的来说,在过去的一年里,我们注意到许多黑客组织在他们的攻击活动中投入了大量资源,并且还改进了他们的行为,他们在这里增加了更多的混淆技术和更复杂的反逆向工程技术。这也表明这些组织可能正在计划扩大他们的攻击范围。”越南已成为APT攻击的目标Kabbah根据Ski的分析,数十台计算机成为该活动的目标,其中绝大多数(80%)位于越南。其他目标在中亚和泰国。该公司还发现,大多数被攻击的机器属于政府或军方。与此同时,其他部门,包括外交事务、教育或医疗保健,也成为目标。Lechtik说:“看起来这次攻击更多是对越南的本地威胁,但未来很有可能在更多国家和地区发现FoundCore后门。”卡巴斯基高级安全研究员PierreDelcher补充说:“更重要的是,这些黑客组织倾向于彼此分享他们的攻击策略,如果在其他活动中发现相同的混淆策略,我们也不会感到惊讶。我们将监控威胁“仔细观察,寻找类似的可疑攻击。对于公司来说,他们能做的就是让他们的公司了解最新的威胁情报,这样他们就知道要注意什么。”本文翻译自:https://threatpost.com/spy-operations-vietnam-rat/165243/如有转载请注明出处。
