概述
Gamaredon是一个俄罗斯的APT攻击组织,首次出现于2013年,主要是针对乌克兰进行网络间谍活动。在Gamaredon最近的一次攻击活动中,发现该组织利用Telegram来提供C&C服务器和payload下载地址。
最近发现一个恶意活动,该活动使用模块化攻击技术并投递CobaltStrike木马到受害者机器上。攻击者通过携带CVE-2017-0199漏洞的钓鱼邮件,当受害者打开钓鱼邮件时,它会下载托管再攻击者控制的恶意Word文档模板。
在此次活动中发现了攻击者使用的两种攻击方法,一种时通过远程模板执行嵌入的VBS脚本,从而导致生成和执行其他混淆的VB和Powershell混淆脚本。另一种使用恶意宏代码下载和执行恶意powershell命令和下载恶意程序。
两种攻击最终都投递CobaltStrike的泄露版本。Bean配置包含执行任意二进制文件和进程注入,并配置了高信誉,使用重定向技术来伪装Beaons的流量。在投递CobaltStrike的同时还投递了其他窃密软件。
Symbiote由威胁情报公司BlackBerry和Intezer命名,原因是该恶意程序能够将自己隐藏在正在运行的进程或者网络流量中,像寄生虫一样耗尽受害者的资源。
Symbiote背后的组织在2021年11开始开发该恶意程序,主要用来攻击拉丁美洲的金融部门,包括巴西银行和Caixa银行。
Symbiote与其他Linux恶意程序不同之处在于它利用一个名为LD_PRELOAD的linux特性通过动态链接器将其加载到所有正在运行的进程中。
文件名 | liblinux.so |
---|---|
Md5 | 59033839c1be695c83a68924979fab58 |
文件类型 | Linux64共享库 |
BPFDoor是专门为Linux和Solaris系统设计的后门程序,攻击者可以远程连接到linux shell以获得受害者设备的访问权限,背后所属的APT组织主要针对中东和亚洲的电信提供商以及政府、教育和物流部门的实体。
该后门滥用伯克利数据包过滤器(BPF)来监听网络和过滤网络数据包,这是BPFDoor名字的由来,也是2022年来被发现的第二个基于BPF进行攻击的恶意程序,第一个是由盘古实验室公布的NAS后门bvp47。
PWC研究人员将该恶意程序归因于来自中国的APT组织Red Menshen, 该APT组织为2021年被PWC命名,归因原因是该组织在后利用阶段使用了Gh0st后门变种以及Mimikatz和Metasploit等开源软件、攻击时间与中国地区工作时间吻合等原因。这种归因方式是信誉度比较低的,因为其他国家的APT组织有时也会使用Gh0st后门,比如朝鲜国家支持的APT组织Lazarus。
文件名 | kdumpflush |
Md5 | 156226c90974180cc4b5f9738e80f1f8 |
文件类型 | ELF64 |