天创培训:您身边的信息安全培训专家!
开班计划
2021•CISP-PTE四月开班通知
主讲老师   张老师
开课时间   4月
培训方式   线上课程+线下培训
授课天次   10
上课时间   4月19日-4月28日
课程介绍 在线报名
【@所有人】四月CISP认证集训火热开班!
主讲老师   张老师
开课时间   2021年4月
培训方式   线上课程+线下培训
授课天次   5
上课时间   4月
课程介绍 在线报名
CISAW信息安全保障从业人员认证|培训通道已开启!!!
主讲老师   张老师
开课时间   3月
培训方式   线下培训
授课天次   
上课时间   3月
课程介绍 在线报名
CISP-PTE一月寒假训练营火热报名中
主讲老师   张老师
开课时间   1月
培训方式   线上课程+线下培训
授课天次   21
上课时间   1月
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

中国APT小组利用FoundCore RAT监视越南军方

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2021-04-07  关键词:APT,中国,卡巴斯基,恶意软件,安全,越南

据卡巴斯基的研究人员称,中国APT团体Cycldek在一项新的网络间谍活动中以越南政府和军事组织为目标。

根据卡巴斯基研究人员的一份报告,一个名为Cycldek(又名 Lucky MouseAPT 27,哥布林熊猫和Conimes)的华语威胁组织正在监视越南政府和军事组织。

它是一个APT(高级持续威胁)组。根据他们的分析,该小组自2013年以来一直很活跃。

进一步的调查显示,到目前为止,该运动已将数十台计算机作为攻击目标,近80%的计算机位于越南,而其余20%的计算机位于泰国和中亚。

卡巴斯基的研究人员声称,除政府和军事部门外,其他目标行业还包括教育,医疗保健和外交。研究人员评估说,这场战役似乎是一种本地威胁,但攻击链可能会在不久的将来扩展到其他地区。

黑客提供FoundCore RAT

这场运动的主要动机是监视越南政府和军事实体。在这种高级的网络间谍活动中,威胁行动者使用远程访问工具来执行其恶意间谍活动。

据报道,由于Cycldek使用FoundCore恶意软件,因此他们使用了几种新策略,这些策略代表了“先进性”方面的重大进步。这标志着他们的间谍工具迈出了一大步。FoundCore使攻击者能够执行文件系统操纵,捕获屏幕截图,处理操纵以及执行任意命令。

依赖DLL侧面加载三合会的战役

在这一新发现的活动中,研究人员注意到,威胁参与者正在使用一种著名的攻击策略,称为DLL侧载黑社会。动态链接库DLL是指要供不同计算机程序使用的编码段。

在此活动中,感染链执行用于解密FoundCore的Shellcode,攻击者将完全控制受感染的设备。研究人员发现最有趣的是Cycldek用于保护恶意代码免遭检测的方法。

在他们的 报告中,研究人员解释了这一过程,该过程是“最终有效载荷的标题(代码的目标和源)被完全剥离,剩下的几个包含不一致的值。

通过这样做,攻击者使研究人员对恶意软件进行反向工程以进行分析的难度大大增加。

该恶意软件样本是在对位于越南的知名组织的攻击中发现的。研究人员解释说,从高层的角度来看,感染链遵循预期的执行流程。

APT,中国,卡巴斯基,恶意软件,安全,越南

此外,在这种情况下,感染链的各个组成部分紧密结合在一起,因此几乎不可能单独评估单个片段。这会阻止分析完全了解恶意活动的级别。

 (来源:HACKREAD)



推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000