聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
巴基斯坦威胁组织成功地社工了多个阿富汗国家机构以及印度的一台共享政府计算机,窃取敏感的谷歌、推特和Facebook 凭据并静默访问政府门户。
Malwarebytes 公司的最新研究详述了APT组织 SideCopy 使用的新技术和新工具。该组织的命名源于它试图模拟与另外一家黑客组织 SideWinder 的感染链并误导研究人员。
Malwarebytes 公司的研究员 Hossein Jazi 表示,“SideCopy APT 使用的诱饵通常是嵌入如下文件(LNK、Microsoft Publisher 或被木马化应用程序)之一的文档文件。他指出嵌入文件旨在攻击位于阿富汗和印度的政府和军队官员。
之前有消息称 Meta 采取措施拦截由该组织发动的恶意活动,使用浪漫关系作为诱饵,攻陷和阿富汗政府、军队和喀布尔执法部门存在关联的个体。
某些攻击针对的是阿富汗行政办公室 (AOP) 、外交部、财政部和国家采购局存在关联的个体,导致社交媒体密码和受密码保护的文档被盗。SideCopy 组织还入侵位于印度的共享计算机并收割来自政府和教育服务的凭据。
另外,该组织被指嗅探了多份微软 Office 文档,包括官员的姓名、电话号码和邮件地址以及包含和身份证、外交签证以及阿富汗政府网站资产注册有关的数据库信息,这些都可能被用作诱饵或攻击这些官员。
攻击涉及诱骗目标打开文档,从而执行某加载器,释放下一阶段的远程访问木马 ActionRAT,进而上传文件、执行从服务器接受到的命令甚至下载更多的 payload。
该加载器海会释放新的信息窃取器 AuTo Stealer,用于通过HTTP或TCP将信息提取到服务器前,收集 Microsoft Office 文件、PDF 文档、文本文件、数据库文件以及镜像。
这并非 SideCopy APT组织的攻击技术首次被披露。2020年9月,网络安全公司 Quick Heal 披露了旨在攻击印度国防部门和武装人员的至少始于2019年的间谍攻击活动,其目的是窃取敏感信息。
今年7月初,思科 Talos 研究人员披露了该黑客组织发动多起感染链活动,分发商用远程访问木马如 CetaRAT、Allakore 和 njRAT,目标是大规模恶意攻击印度实体。
推荐阅读
原文链接
https://thehackernews.com/2021/12/researchers-detail-how-pakistani.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~