查看原文
科技

沙箱捕获!APT-Q-15利用地缘政治话题投递0day利用邮件

威胁情报中心 奇安信威胁情报中心
2024-07-19

事件

奇安信威胁情报中心红雨滴团队最近在回滚沙箱数据时,发现了一封格式异常的eml邮件:



邮件标题为“《주요기사》 김정은원수님께서 이란이슬람공화국 제1부대통령에게 조전을 보내시였다”,翻译成中文为“《主要新闻》元帅向伊朗伊斯兰共和国第一副总统致电”,邮件正文内容如下:



中文翻译如下:



攻击者以半岛某国的视角向伊朗因意外事故去世的总统表示哀悼,邮件正文中还引用了某个报纸网站的文章链接。通过对0day触发代码进行解密,我们最终确认攻击者归属于我们多次在年报中[1][2]提到的APT-Q-15组织。

 


技术细节

       与以往东北亚组织将攻击代码嵌入到正文中不同,本次活动中APT-Q-15将XSS代码插入到EML格式文件中。



       当受害者在特定情境下打开邮件时瞬间触发利用代码,将Cookie上传到C2服务器上,攻击者可以快速的获取受害邮箱中的联系人和所有邮件。由于收件人被删除,我们无法得知具体的受害信息。但是APT-Q-15和APT37作为两个同一语种不同地区的威胁行为团体,攻击目标互为镜像。


威胁团体画像

APT37

APT-Q-15

攻击目标

中韩贸易人员和在中朝鲜人

中朝贸易人员和在韩国的中国企业

攻击手法

通用鱼叉

0day鱼叉

攻击节奏

持续社工寻求长期控制

攻击周期短,使用0day快速获取数据

TTP水平

多段下载者,部分手法模仿APT-Q-15

首次使用多种类型的新技术绕过杀软

红雨滴沙箱迄今为止一共捕获了10多个的境外APT在野0day攻击活动,其中让我们印象深刻的是2022年和2024年东北亚地区针对移动端安卓平台的两个0day漏洞,如果去年针对iOS系统的Operation Triangulation为T0水平的攻击,那么东北亚地区针对安卓平台的攻击可以达到T1水平。

 

目前移动端杀毒软件的用户安装率呈下降趋势,针对该平台的高级威胁变得越来越难以检测。然而,与过去相比,针对移动端的攻击需求和攻击频率呈现上升趋势,这将不可避免地扩大攻防之间的差距。


红雨滴沙箱介绍

       红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力,使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱,协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击,和无数计的APT攻击线索及样本,是威胁情报数据产出的重要基石,并被业内权威威胁分析厂商VirusTotal所集成。



总结

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。



IOC

有关APT-Q-15和APT37过去三年活动的商业报告请联系奇安信威胁情报中心(ti.qianxin.com)


参考链接

[1].https://ti.qianxin.com/uploads/2024/02/02/dcc93e586f9028c68e7ab34c3326ff31.pdf

[2].https://ti.qianxin.com/uploads/2023/03/20/396eaf4482e610119ce0cdcd7526c945.pdf

点击阅读原文ALPHA 7.0

即刻助力威胁研判


继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存