诚信为本:市场永远在变,诚信永远不变。

咨询热线

13988889999
手机:13988889999
电话:0898-66889888
地址:海南省海口市玉沙路58号
邮箱:admin@jinhanw.com

瑞星捕获东南亚黑客组织对中国KB体育首页注册能源行业发起的APT攻击

瑞星捕获东南亚黑客组织对中国KB体育首页注册能源行业发起的APT攻击

2023-12-30 17:24:41

  近日,瑞星威胁情报平台捕获到一起针对中国的APT攻击事件,根据关联分析发现,攻击者为Patchwork组织。该组织以国内某超大型水电能源企业的新闻为诱饵,对国内用户(特别是能源行业用户)进行钓鱼邮件攻击,一旦有用户激活邮件附件中的恶意代码,就会被攻击者远程控制,盗取电脑内所有的机密信息。

  瑞星EDR已将此次攻击的全部过程进行可视化还原,帮助用户看清攻击者的每一步操作,并结合RGPT人工智能技术对攻击流程进行精准分析,定位、查看、了解攻击的方向以及恶意代码活动的关键链条。

  Patchwork组织又名摩诃草、白象、APT-Q-36、Dropping Elephant,是一个疑似具有南亚政府背景的APT组织,其最早攻击活动可追溯到2009年,至今依然活跃KB体育首页注册。该组织主要针对中国、巴基斯坦、孟加拉国等亚洲地区国家,以政府、军事、电力、工业、科研教育、外交和经济等高价值机构为攻击目标。

  由于在攻击中使用的诱饵文档为国内某超大型水电能源企业相关新闻,因此可以判断出此次目标为国内相关企业用户。

  在此次攻击中,Patchwork组织会通过钓鱼邮件等方式向目标投递名为《某集团与广东省阳江市座谈》的PDF文档,而这个文档实际是一个.lnk的快捷方式,攻击者故意将其伪装成PDF格式KB体育首页注册,就是为了诱导目标去点击。一旦有受害者点击了这个快捷方式,就会下载与文档同名的新闻稿和恶意程序,从而激活名为NorthStarC2的远控后门程序,被攻击者远程控制并盗取电脑内所有的资料和信息。

  瑞星安全专家介绍,Patchwork组织在此次攻击中,运用了与以往不同的攻击技术,通过Rust语言编写恶意程序,并执行开源工具Donut和远控工具NorthStarC2。这样做的好处是,Rust语言具有易用性、灵活性、内存安全性等优势;而Donut则能够将任意exe、dll、序集或脚本生成一个与执行位置无关的可执行代码,很好地隐藏了自身;NorthStarC2是现成的远控程序,可拿来即用,攻击效率高。这样的组合既隐蔽性强KB体育首页注册、安全性高,又可以让攻击者向目标投递不同类型的攻击武器,实现远控或者其他恶意行为。

  由于此次攻击中所使用的诱饵文档提及了国内某超大型水电能源企业,被攻击目标极有可能是国家重要的能源、基建行业,因此相关部门或企业要格外重视,做到以下几点:

  利用威胁情报追溯威胁行为轨迹,进行威胁行为分析,定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,以便更快响应和处理。

  杀毒软件可拦截恶意文档和恶意程序,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。

  许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播,及时安装补丁将有效减少漏洞攻击带来的影响。KB体育官网app下载KB体育官网app下载

友情链接:
Copyright © 2012-2023 KB体育网 版权所有 Powered by EyouCms ICP备案编:冀ICP备2021028800号-1 
网站地图