虚拟专用网络安装包“引狼入室”:疑似金眼狗(APT-Q-27)团伙的窃密行动
💡
原文中文,约10300字,阅读约需25分钟。
📝
内容提要
金眼狗(奇安信内部编号APT-Q-27)是一个黑客团伙,针对东南亚博彩和海外华人群体。最近发现了伪装为快连VPN的恶意安装包,其中植入了定制版gh0st远控。详细分析了攻击流程和恶意代码特征。
🎯
关键要点
- 金眼狗(APT-Q-27)是一个针对东南亚博彩和海外华人群体的黑客团伙。
- 该团伙的攻击手法包括远控、挖矿和DDoS攻击,曾利用水坑网站传播恶意软件。
- 最近发现伪装为快连VPN的恶意安装包,内含定制版gh0st远控。
- 攻击流程包括通过搜索引擎优化引导用户下载恶意安装包,安装后植入木马。
- 恶意软件通过DLL侧加载技术解密并加载木马程序,具有较高的隐蔽性。
- 木马程序支持多种远控指令,并能通过插件扩展功能。
- 此次攻击与2020年针对东南亚博彩行业的钓鱼攻击高度相似,显示出金眼狗团伙的攻击模式。
- 攻击者通过伪装正常软件和构建虚假软件下载网站来降低受害者警惕性。
- 近年来,伪装为正常软件的攻击事件频发,攻击者利用各种渠道传播恶意应用。
➡️
