摩诃草组织(APT-Q-36)借Spyder下载器投递Remcos木马
💡
原文中文,约3900字,阅读约需10分钟。
📝
内容提要
摩诃草(Patchwork)是一组活跃10年的网络间谍团伙,主要攻击亚洲国家的政府、军事、电力、工业等机构。最新发现该团伙使用Spyder下载器传播Remcos木马,通过异或加密和JSON字符串等方式规避检测。该团伙的攻击活动仍在持续,需引起关注。
🎯
关键要点
- 摩诃草(Patchwork)是一个活跃10年的网络间谍团伙,主要针对亚洲国家的政府和军事等机构进行攻击。
- 该团伙使用Spyder下载器传播Remcos木马,采用异或加密和JSON字符串等方式规避检测。
- Spyder恶意软件与摩诃草组织有关,主要功能是下载并运行C2服务器下发的可执行文件。
- Spyder下载器经历了多次更新,更新版本中关键字符串经过异或加密处理,以避开静态检测。
- 攻击者通过Spyder向目标主机植入Remcos木马,受害者包括巴基斯坦、孟加拉国和阿富汗等国。
- Spyder的版本更新包括数据格式的变化,版本3使用JSON字符串与C2服务器交互,并进行了base64编码。
- Remcos木马通过混淆真实通信流量和内存加载执行,显示出攻击团伙的技术能力和决心。
- 奇安信威胁情报中心将持续关注摩诃草及相关APT组织的攻击活动。
➡️
