黑客组织“Sharp Panda”正在开展网络间谍活动,其目标已扩大到非洲和加勒比地区。
Check Point 在一份报告中表示:“此次攻击活动采用 Cobalt Strike Beacon 作为有效载荷,启用 C2 通信和命令执行等后门功能,同时最大限度地减少其自定义工具的暴露。”“这种精妙的方法表明他们对目标有更深入的了解。”
以色列网络安全公司正在以新名称“Sharp Dragon”跟踪这一活动,称对手在瞄准目标时十分谨慎,同时正在扩大侦察力度。
该活动于 2021 年 6 月首次曝光,当时被发现针对东南亚,在 Windows 系统上部署了一个名为 VictoryDLL 的后门。
Sharp Dragon随后发起的攻击将目光瞄准了东南亚备受瞩目的实体,以传播Soul 模块化恶意软件框架,然后该框架用于从攻击者控制的服务器接收其他组件,以促进信息收集。
有证据表明,Soul 后门自 2017 年 10 月以来一直在酝酿中,采用了Gh0st RAT 和其他公开的黑客工具。
另一组攻击发生在 2023 年 6 月,目标是 G20 国家的高级政府官员。
Sharp Panda 行动的关键是利用 1day 安全漏洞(例如 CVE-2023-0669)渗透基础设施,以便以后用作命令和控制 (C2) 服务器。另一个值得注意的方面是使用合法的模拟框架 Cobalt Strike 而不是自定义后门。
更重要的是,最新一系列针对非洲和加勒比地区的攻击表明其原有目标有所扩大,其作案手法包括利用东南亚被入侵的知名电子邮件账户发送网络钓鱼电子邮件,感染这两个地区的新目标。
这些消息带有恶意附件,利用 Royal Road 富文本格式 (RTF) 武器化来投放名为 5.t 的下载程序,该下载程序负责进行侦察并启动 Cobalt Strike Beacon,从而允许攻击者收集有关目标环境的信息。
诱饵文档
Check Point 补充道,使用 Cobalt Strike 作为后门不仅可以最大限度地减少自定义工具的暴露,而且还表明了“改进的目标评估方法”。
自 2023 年 5 月以来 Sharp Dragon 的感染链
有迹象表明攻击者正在不断改进其策略,最近的攻击序列已被观察到使用伪装成文档的可执行文件来启动感染,而不是依靠利用远程模板的 Word 文档下载被 Royal Road 武器化的 RTF 文件。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/YUOD4mrQpV2QGUwDaoSEKQ
暂无评论内容