APT10又曝出两款新的加载器和已知payload的新变种

1538500543833.png

2019年5月28日 作者:Pierluigi Paganini  

APT10组织在其军械库中增加了两个新的恶意软件装载机,用于攻击东南亚的政府和私人组织。

2019年4月,来自中国的网络间谍组织跟踪APT10已经在其军械库中增加了两个新的恶意软件装载机,并将其用于对抗东南亚的政府和私人组织。

该组织至少从2009年就一直保持活跃,2017年4月,来自英国的PwC和BAE Systems的专家发现了一场范围甚大的黑客行动,被追踪为Operation Cloud Hopper,其针对全球多个国家的托管服务提供商(MSPs)。

2018年7月,FireEye观察到该组织利用武器化的Word文档通过鱼叉式网络钓鱼电子邮件进行的一系列新攻击,这些文件试图传递UPPERCUT后门,也被标记为ANEL。

2018年9月,FireEye的研究人员发现并阻止了由中国APT10网络间谍组织发起的针对日本媒体行业的行动。

而最近的攻击是由enSilo的专家发现的,他们也注意到APT组织使用了已知恶意软件的升级版本。

enSilo发表的分析指出:“截至2019年4月底,我们发现了一项确定是由中国的网络间谍组织 APT10发起的新攻击活动。”“我们分析其使用的程序和各种payload,发现都和APT10以前的相关策略、技术、过程(TTPs)以及代码类似。”

两个加载器向受害者发送不同的payload,两个变种都会释放以下文件:

  • jjs.exe – 合法的可执行文件,充当恶意软件的加载器.
  • jli.dll – 恶意DLL
  • msvcrt100.dll – 合法的DLL
  • svchost.bin – 二进制文件

两种变体都会使用几种知名的paylosd,包括PlugXQuasar 远程访问木马(RAT)

Chinese-hackers-espionage.jpg

加载程序都会进行DLL加载,这意味着它首先都运行一个合法的可执行文件,然后借此加载恶意DLL。

两个加载器都使用jli.dll库将数据文件svchost.bin映射到内存并对其进行解密以便于注入svchost.exe,加载恶意shellcode。

这两个加载器在确保持久性的方式上有所不同,第一个使用服务作为其保持持久性的方法,而第二个则使用“Windows Update”下当前用户的Run注册表项来保障其持久性。

“要从受感染的计算机上彻底清除McAfee的电子邮件代理服务的任何标记,还有很长的路要走,” Hunter表示,“除了终止进程外,它还确保删除注册表中的任何相关键,并递归删除计算机上的任何相关文件和目录。在某些变种中,被分离出文件运行的VBScript的也被观察到具有相同的行为。”

专家们注意到,攻击者在上次活动中使用的payload仍处于开发阶段。

专家总结道:“加载器的两种变体都执行相同的解密和注入流程”。

inSile发布的分析中还报告了其他技术细节,其中包括IoC。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/86213/apt/apt10-new-loaders.html
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐