与巴基斯坦有联系的APT 36组织被指控使用冠状病毒传播木马

一名与巴基斯坦有联系的威胁演员APT36一直在使用诱饵健康建议,该建议利用围绕冠状病毒大流行的全球恐慌来传播深红RAT。

Crimson RAT的功能包括从受害者的浏览器中窃取凭据,捕获屏幕快照,收集防病毒软件信息以及列出受害者计算机上正在运行的进程,驱动器和目录。自2016年以来一直活跃的APT36(也称为透明部落,ProjectM,神话般的豹子和TEMP.Lapis)通常使用这种数据渗出功能。

Malwarebytes的研究人员在周一的分析中说:“ APT36被认为是巴基斯坦政府资助的威胁参与者,主要针对国防部,使馆和印度政府。” “ APT36执行网络间谍活动的目的是从印度收集支持巴基斯坦军事和外交利益的敏感信息。”

研究人员说,以前的APT36运动主要依靠鱼叉式网络钓鱼和水坑攻击来巩固受害者的地位。此最新的网络钓鱼电子邮件附加了一个恶意宏文档,该文档针对RTF(富文本格式)文件中的漏洞,例如CVE-2017-0199。这是一个严重程度很高的Microsoft漏洞,当用户打开恶意的Microsoft Office RTF文档时,该漏洞使不良参与者可以执行Visual Basic脚本。

该电子邮件伪装成来自印度政府(email.gov.in.maildrive [。] email /?att = 1579160420),并包含有关冠状病毒大流行的“健康建议”。一旦受害者单击附加的恶意文档并启用宏,则将删除Crimson RAT。

深红色RAT APT36

恶意宏首先创建两个名称为“ Edlacar”和“ Uahaiws”的目录,然后检查操作系统类型。然后,根据操作系统的类型,宏选择zip格式的RAT有效负载的32位或64位版本,该版本存储在UserForm1的两个文本框中之一中。然后,将zip有效负载拖放到“ Uahaiws”目录中并解压缩其内容(使用“ UnAldizip”功能),将RAT有效负载拖放到Edlacar目录中。最后,它调用Shell函数执行有效负载。

下载后,Crimson RAT连接到其硬编码的命令和控制(C2)IP地址,并将收集到的有关受害者的信息发送回服务器。该数据包括正在运行的进程及其ID,计算机主机名及其用户名的列表。

研究人员说,APT36过去使用了许多不同的RAT菌株-包括远程管理工具DarkCometLuminosity RATnjRAT

研究人员说:“在过去的战役中,他们能够破坏印度军方和政府的数据库,以窃取敏感数据,包括军队战略和训练文件,战术文件以及其他官方信件。” “他们还能够窃取个人数据,例如护照扫描和个人身份证明文件,短信以及联系方式。”

上周,各种APT已利用冠状病毒感染了恶意软件。上周,在一个名为“恶性熊猫”的研究人员中,一个中国APT小组被发现利用COVID-19用以前未知的恶意软件感染蒙古受害者。此外, 随着围绕全球大流行的恐慌持续不断,攻击者继续利用以  冠状病毒为主题的网络 攻击,包括恶意软件攻击,诱骗诱骗的URL和凭据填充欺诈。

研究人员说,使员工意识到这些持续的骗局是关键-尤其是随着越来越多的企业因应对冠状病毒大流行而从家庭模式转移到工作场所

研究人员说:“自从冠状病毒成为全球性的健康问题以来,政府和卫生当局对更多信息和指导的渴望就达到了白热化。” “这是威胁行动者利用恐惧,散布错误信息并产生大量歇斯底里的绝妙机会,同时又通过诈骗或恶意软件活动损害受害者。”

0 0 vote
Article Rating

未经允许不得转载:x-sec » 与巴基斯坦有联系的APT 36组织被指控使用冠状病毒传播木马

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x