【安全资讯】网络间谍活动曝光：Cobalt Whisper行动袭击敏感行业

概要：

近期，Quick Heal的SEQRITE实验室揭露了一项名为Cobalt Whisper的重大网络间谍活动，目标锁定了巴基斯坦和香港的敏感行业。这一行动被归因于一个尚未确定的高级持续威胁（APT）组织，显示出其通过一系列精心策划的攻击手段，成功渗透南亚的国防、研究和技术领域。

主要内容：

Cobalt Whisper行动影响了多个行业，包括国防、电气工程、可再生能源、民航、环境工程和学术界。SEQRITE报告指出，该行动大量使用了后期利用工具Cobalt Strike，并通过混淆的VBScrip进行部署。研究团队识别出20条感染链，其中大部分针对香港，另有两条针对巴基斯坦，攻击者利用超过30个诱饵文件来吸引受害者。

攻击者使用与知名事件和研究奖项相关的定向诱饵文档作为恶意载荷的投递方式。其中一个名为“附件1：《2024年度中国电工技术学会科学技术奖推荐提名书》（技术发明奖和科技进步奖）填报说明(2024年8月新版).pdf.lnk”的PDF样式LNK文件，触发了一个名为O365.vbs的批处理脚本。该VBScript文件执行多项恶意操作，包括解码和执行Cobalt Strike信标。

Cobalt Whisper行动的一个显著特点是其在多个活动中反复使用特定的命名约定，SEQRITE在与该行动相关的14个样本中识别出ImeBroker.exe。这些特征使研究人员能够追踪威胁行为者的更广泛基础设施。报告强调，针对目标行业的组织需要加强网络安全措施，Quick Heal建议更新防病毒解决方案，避免点击未知链接，并备份关键数据，以防止此类泄露。