安全研究人员发现了一项新的高级威胁活动,该活动归因于APT37,这是东北亚某国黑客组织,针对捷克,波兰和其他欧洲国家的专业黑客组织。
在攻击活动中,黑客使用被称为Konni的恶意软件,这是一种远程访问木马(RAT),能够在目标主机建立持久性并执行权限提升。
自2014年以来,Konni一直与东北亚某国的网络攻击有关。Securonix的研究人员观察和分析了最新且仍在进行的活动,他们称之为STIFF#BIZON。
攻击始于网络钓鱼电子邮件,其中包含Word文档(missile.docx)和Windows快捷方式文件(_weapons.doc.lnk.lnk)的存档附件。
打开 LNK 文件时,运行代码以在 DOCX 文件中查找 base64 编码的 PowerShell 脚本,以建立 C2 通信并下载两个附加文件“武器.doc”和“wp.vbs”。
下载的文件是一个诱饵,据说是俄罗斯战地记者奥尔加·博热娃(Olga Bozheva)的报道。同时,VBS 文件在后台静默运行,以在主机上创建计划任务。此时,RAT后门已经加载并建立了连接,并能执行以下操作:
- 捕获屏幕截图;
- 提取存储在本地状态文件中的状态密钥以进行 cookie 数据库解密;
- 从受害者的 Web 浏览器中提取保存的登录凭据;
- 启动一个远程交互式 shell,该 shell 可以每 10 秒执行一次命令。
虽然攻击活动的战术和工具集(TTP)指向APT37,但Securonix强调不排除APT28(又名FancyBear)的可能性。APT组织经常进行假旗活动,试图模仿其他知名APT组织的TTP来掩盖其踪迹,并以此误导威胁分析师。因此,研究人员仅凭有限的证据链,导致错误归因的可能性较大。
参考链接:bleepingcomputer.com
,
