我们于2024年8月确认了一起疑似APT-C-60攻击集团针对国内组织的攻击事件。该攻击通过伪装成求职者的邮件发送给组织的招聘负责人,并利用恶意软件感染。攻击者利用Google Drive链接诱导受害者下载含有恶意软件的VHDX文件,该文件内含LNK文件和诱饵文档。LNK文件利用正常执行文件git.exe执行IPML.txt,后者负责创建和持久化下载器SecureBootUEFI.dat。SecureBootUEFI.dat通过访问Bitbucket和StatCounter等正规服务进行恶意活动,包括确认感染设备、上传下载器、下载和执行后续恶意软件。此外,攻击中还使用了名为SpyGrace的后门程序,其配置信息显示版本为v3.1.6。我们还发现,从2024年8月到9月,有多个安全厂商报告了使用同种恶意软件的攻击活动,这些攻击活动具有相似的特征,包括滥用Bitbucket和StatCounter服务以及通过COM劫持实现持久化。攻击目标包括日本、韩国和中国等东亚国家。此次攻击中使用的恶意软件样本和通信目标详见附录。
原文链接:
https://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...