【安全资讯】“影猫行动”瞄准印度政治观察者
概要:
Cyble研究与情报实验室(CRIL)揭露了一场名为“影猫行动”的复杂网络间谍活动。此次行动主要针对对印度政治事务感兴趣的个人,包括政府官员、政治分析师和记者。攻击通过伪装成Word文档的快捷方式文件(.LNK)进行,旨在窃取敏感信息。主要内容:
“影猫行动”始于通过垃圾邮件分发的伪装成Word文档的快捷方式文件(.LNK)。一旦执行,该文件会触发PowerShell命令,部署.NET加载器文件和诱饵Word文档。PowerShell脚本随后从远程服务器获取包含Gzip压缩有效载荷的隐写PNG图像。该有效载荷在内存中解压并注入PowerShell进程,以逃避检测。攻击从名为“Untitled Document.LNK”的快捷方式文件开始,执行后加载嵌入的PowerShell脚本。脚本首先检索受害者系统的GeoID,以防止在特定国家执行。如果GeoID匹配,执行终止。脚本还解混淆一系列字符串,包括base64编码数据、PowerShell命令和感染链所需的URL。随后,脚本删除原始LNK文件,创建并打开新的诱饵文档,通常是针对印度议会的问题。
脚本加载并执行恶意DLL文件,.NET加载器文件从远程服务器获取包含隐藏Gzip压缩内容的PNG图像。图像解析后,压缩数据解压为shellcode,并通过异步过程调用(APC)注入PowerShell进程。最终有效载荷是使用Go编译的远程访问木马(RAT),利用HashiCorp Yamux和Secsy goftp进行通信和文件传输。该RAT通过WebSocket连接到C&C服务器,使用自定义“NetCat”子协议进行反向shell操作和命令执行。
诱饵文档和对印度政治事务的关注表明,此次攻击具有针对性,目标是对印度政治事务有深入了解或参与的个人。威胁行为者避免感染俄语国家的系统,表明其可能是俄语国家的黑客组织或勒索软件即服务(RaaS)实体。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享