【安全资讯】TA397利用复杂的鱼叉式网络钓鱼技术在国防领域部署恶意软件

安恒恒脑 2024-12-20 19:04:58 23人浏览

概要:

近日,Proofpoint研究人员发现了一个由南亚高级持续威胁(APT)组织TA397发起的新型鱼叉式网络钓鱼活动。该活动于2024年11月18日被观察到,主要针对国防领域的组织,采用高度针对性的诱饵,旨在部署恶意软件并窃取敏感信息。

主要内容:

此次攻击始于一封来自被攻陷政府账户的电子邮件,邮件主题为“2025年公共投资项目_马达加斯加”,与附带的压缩RAR档案中的文件内容相符。该RAR档案包含三个关键元素:一份详细介绍世界银行合法项目的诱饵PDF文件;一个伪装成PDF的恶意LNK文件;以及嵌入RAR档案中的替代数据流(ADS)文件。Proofpoint指出,RAR档案的使用是TA397投放有效载荷的常用策略。

当目标用户与恶意LNK文件交互时,嵌入的替代数据流被激活,执行经过base64编码的PowerShell代码,随后下载额外的有效载荷,包括知名的WmRAT和新工具MiyaRAT。感染链还建立了一个计划任务,确保持久性并与C2服务器(jacknwoods[.]com)进行定期通信。攻击者的命令促进了数据的窃取和额外有效载荷的投放。

TA397在其活动中使用了两种不同的远程访问木马(RAT):WmRAT和MiyaRAT。WmRAT是一种老旧工具,能够收集系统数据、窃取文件并执行任意命令,而MiyaRAT则是TA397工具包中的新成员,采用先进的加密方法,专门针对高价值目标。该组织的基础设施和C2域显示出精心的规划,表明其活动与南亚政府的情报收集利益密切相关,主要目标包括EMEA和APAC地区的国防、能源、电信及政府组织。
APT 恶意代码 国防 能源
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。