APT35活动:从美国到阿联酋,针对航空航天、半导体
E安全消息,ThreatBook研究与响应团队揭露了APT35的复杂网络攻击活动。活动针对美国、泰国、阿联酋等多个国家的航空航天和半导体行业。
APT35也称为Magic Hound或Charming Kitten,这个由伊朗支持、与伊斯兰革命卫队(IRGC)有关联的组织,自2014年以来就有着一系列高调的网络攻击历史。
在其一个活动中,APT35推出一个虚假招聘网站,针对泰国航空航天领域的无人机设计专家。网站发布高薪职位,增加了骗局的合法性。
根据ThreatBook的说法,攻击者在他们的“授权访问”服务中混合了合法程序和恶意模块,“该网站提供的授权访问程序混合了两个白色和黑色的恶意样本,其中SignedConnection.exe是合法的OneDrive程序,secur32.dll,Qt5Core.dll分别是第一阶段和第二阶段的恶意程序。”
用C#编写的恶意模块secur32.dll,悄无声息地加载了恶意软件的后续阶段,采用了字符串重构等混淆技术来逃避检测。
APT35的方法包括通过重命名文件和注册表键操作来部署复杂的多阶段有效载荷,以实现持久性。该组织还利用Google Cloud、GitHub和OneDrive等合法平台进行命令与控制(C&C)通信。
“通过对相关样本、IP和域名的分析,提取了多个相关的IOC,用于威胁情报检测。”ThreatBook报告称。
恶意软件还利用GitHub存储库和预配置的备份C&C域名,以确保在主要地址被封锁时保持连通性。这种适应性表明APT35致力于保持运营的弹性。
另一个值得注意的策略是针对半导体公司的假冒VPN程序。VPN安装程序被设置为加载一个名为msvcp.dll的恶意DLL模块,该模块充当下载器,攻击者能够从合法云平台上的C&C服务器获取额外的有效载荷。
“利用VPN访问程序加载恶意DLL模块msvcp.dll,它与Qt5Core.dll是同类型的下载器。”ThreatBook指出。
APT35的行动展示了其利用知名品牌和工具(如OneDrive和GitHub)的信任,渗透到高价值行业的能力。该组织广泛使用社会工程学策略,加上技术复杂性,这凸显了处理敏感技术的行业需要提高警惕。
2024.12.3
2024.11.29
供应链管理商Blue Yonder遭攻击,星巴克转“人工运营”
2024.11.28
注:本文由E安全编译报道,转载请联系授权并注明来源。