针对中亚地区国家机构的APT攻击活动,使用模块化木马XPath
Dr.web最近揭露了针对哈萨克斯坦和吉尔吉斯斯坦国家机构的APT攻击活动,涉及的所有设备都运行Windows操作系统。攻击中使用的恶意软件分为两类:安装在网络中大多数计算机上的常见恶意软件和安装在攻击者特别感兴趣的服务器上的自定义恶意软件。攻击者使用名为PlugX和Whitebird的木马进行初始感染。PlugX的有效负载模块使攻击者可以远程控制受感染的计算机,并将其用于横向移动。Whitebird在64位操作系统上运行,并具有通用功能:支持与C&C服务器以及文件管理器、代理的加密连接,并可以通过命令shell功能进行远程控制。然后,攻击者使用专门的恶意软件来执行任务,包括Misics、XPath、Mirage、Mikroceen、Logtu、CmdUdp。XPath是一种新发现的模块木马,每个模块对应于恶意软件操作的特定阶段,包括安装程序、驱动程序、中间模块、有效负载模块。其可以通过驱动程序安装或利用COM Hijacking启动有效负载。有效负载基于开源项目,可以在客户端模式和代理模式下运行,目的为获得对受感染计算机的未经授权的访问并窃取机密数据。
APT情报 LogtuPlugXMikroceenXPathMisicsCmdUdpMirageWhitebird
情报来源: 天际友盟
2020/07/21
更新来源: 天际友盟