TA416 APT使用新的Golang版本的PlugX惡意軟體加載程序,對從梵蒂岡到非洲的外交官等一系列受害者進行了魚叉式網絡釣魚攻擊。
TA416高級持續威脅(APT)攻擊者又回來了,在經歷了一個月的沉寂後,該小組被發現使用從未見過的PlugX惡意軟體加載程序Golang變體發動魚叉式網絡釣魚攻擊。
TA416,也稱為「Mustang Panda」或 「RedDelta」,最近在針對與梵蒂岡和中國建交的外交部以及緬甸外交部的活動中被發現,最近還發現該組織針對非洲外交部。
在對這些攻擊的進一步分析中,研究人員發現該小組已更新了其工具集,特別是對其PlugX惡意軟體變種進行了改進。PlugX遠程訪問工具(RAT)以前曾用於針對政府機構的攻擊,並允許遠程用戶未經許可或授權即可盜竊數據或控制受影響的系統。它可以複製、移動、重命名、執行和刪除文件、記錄鍵盤、輸入受感染系統的指紋等。
Proofpoint的研究人員在周一的分析中說:
「隨著安全研究人員繼續曝光這個組織,人們會發現這些研發者總是在不斷修改工具集以逃避分析和檢測。儘管對其有效載荷進行基準更改並不會大大增加歸因於TA416活動的難度,但它們確實使獨立於感染鏈的惡意軟體組件的自動檢測和執行對研究人員而言更具挑戰性。」
重新恢復攻擊
在TA416進行了近一個月的隱匿之後,研究人員觀察到從9月16日到10月10日重新又發現了出現的魚叉式網絡釣魚活動。這些最近的魚叉式網絡釣魚嘗試包括持續利用社會工程學來發起攻擊,比如在歐洲利用中梵續籤主教任命協議一事,吸引受害者進行點擊。
研究人員說:
「這種政治化的社會工程學內容表明,攻擊者比較關注國際間的政治問題。」
儘管先前曾報導過其中一些活動,但對這些攻擊的進一步調查顯示,TA416的PlugX惡意軟體加載程序是一個全新的變體。
PlugX惡意軟體介紹
經過進一步的調查,研究人員確定了兩個壓縮文件,它們是PlugX惡意軟體刪除程序。
研究人員說,無法確定這些RAR文件的初始發送媒介,但是,從以前的變化趨勢來看,研究人員一直可以觀察到TA416包含網絡釣魚電子郵件中的Google Drive和Dropbox URL,這些電子郵件發送包含PlugX惡意軟體和相關組件的文件。
PlugX惡意軟體攻擊媒介
發現其中一個文件是自解壓縮的壓縮文件,提取壓縮文件後,將在主機上安裝四個文件,並執行可移植可執行文件(PE)Adobelm.exe。
Adobelm.exe是合法的Adobe可執行文件,用於hex.dll的動態連結庫(DLL)側面加載。它調用hex.dll的導出功能,稱為CEFProcessForkHandlerEx。
研究人員說:
「從歷史上看,TA416攻擊使用文件名hex.dll和相同的PE導出名稱來實現Microsoft Windows PE DLL的DLL側面加載。這些文件充當加密的PlugX惡意軟體有效載荷的加載程序和解密程序。」
該惡意軟體加載器被標識為Golang二進位文件,研究人員說,他們以前沒有觀察到TA416使用的這種文件類型,Go是一種開源程式語言。
研究人員說:
「發現兩個已識別的壓縮文件都刪除了相同的加密PlugX惡意軟體文件和Golang加載程序樣本。」
經過跟蹤分析,儘管PlugX加載程序的文件類型發生了變化,但功能基本相同。
該文件讀取、加載、解密並執行PlugX惡意軟體有效載荷。然後,PlugX惡意軟體最終調用命令和控制(C2)伺服器IP,45.248.87[.]162。研究人員說,TA416的持續活動證明了一個頑強的攻擊者是如何不斷對已記錄的工具集進行更改的。
Proofpoint表示:「Golang PlugX加載程序的推出以及對PlugX有效負載的持續加密工作表明,該組織可能意識到增加對其工具的檢測能力。這些工具調整加上經常性的命令和控制基礎結構修訂,表明TA416將繼續以外交和宗教機構為目標。
參考及來源:https://threatpost.com/ta416-apt-plugx-malware-variant/161505/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺「網易號」用戶上傳並發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.