据卡巴斯基的研究人员称,中国APT团体Cycldek在一项新的网络间谍活动中以越南政府和军事组织为目标。
根据卡巴斯基研究人员的一份报告,一个名为Cycldek(又名 Lucky Mouse,APT 27,哥布林熊猫和Conimes)的华语威胁组织正在监视越南政府和军事组织。
它是一个APT(高级持续威胁)组。根据他们的分析,该小组自2013年以来一直很活跃。
进一步的调查显示,到目前为止,该运动已将数十台计算机作为攻击目标,近80%的计算机位于越南,而其余20%的计算机位于泰国和中亚。
卡巴斯基的研究人员声称,除政府和军事部门外,其他目标行业还包括教育,医疗保健和外交。研究人员评估说,这场战役似乎是一种本地威胁,但攻击链可能会在不久的将来扩展到其他地区。
黑客提供FoundCore RAT
这场运动的主要动机是监视越南政府和军事实体。在这种高级的网络间谍活动中,威胁行动者使用远程访问工具来执行其恶意间谍活动。
据报道,由于Cycldek使用FoundCore恶意软件,因此他们使用了几种新策略,这些策略代表了“先进性”方面的重大进步。这标志着他们的间谍工具迈出了一大步。FoundCore使攻击者能够执行文件系统操纵,捕获屏幕截图,处理操纵以及执行任意命令。
依赖DLL侧面加载三合会的战役
在这一新发现的活动中,研究人员注意到,威胁参与者正在使用一种著名的攻击策略,称为DLL侧载黑社会。动态链接库DLL是指要供不同计算机程序使用的编码段。
在此活动中,感染链执行用于解密FoundCore的Shellcode,攻击者将完全控制受感染的设备。研究人员发现最有趣的是Cycldek用于保护恶意代码免遭检测的方法。
在他们的 报告中,研究人员解释了这一过程,该过程是“最终有效载荷的标题(代码的目标和源)被完全剥离,剩下的几个包含不一致的值。
通过这样做,攻击者使研究人员对恶意软件进行反向工程以进行分析的难度大大增加。”
该恶意软件样本是在对位于越南的知名组织的攻击中发现的。研究人员解释说,从高层的角度来看,感染链遵循预期的执行流程。
此外,在这种情况下,感染链的各个组成部分紧密结合在一起,因此几乎不可能单独评估单个片段。这会阻止分析完全了解恶意活动的级别。
(来源:HACKREAD)