针对亚洲大型企业的隐秘网络间谍活动:DLL劫持及社交媒体C2攻击
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
卡巴斯基实验室揭露了一起针对俄罗斯IT企业的网络间谍活动,攻击者通过社交媒体和DLL劫持技术发送伪装钓鱼邮件,最终部署Cobalt Strike Beacon,主要针对俄罗斯及其他国家的大中型企业。
🎯
关键要点
- 卡巴斯基实验室揭露了一起针对俄罗斯IT企业的网络间谍活动。
- 攻击者通过社交媒体和DLL劫持技术发送伪装钓鱼邮件。
- 攻击始于2024年下半年,并在2025年4月达到高峰。
- 攻击者伪装成大型国有油气公司,发送鱼叉式钓鱼邮件。
- 恶意压缩包内含.lnk快捷方式文件和伪装成PDF的可执行程序。
- 攻击链核心是经过重命名的合法工具BsSndRpt.exe。
- 攻击者滥用GitHub、Quora和Microsoft Learn Challenge等合法平台存储加密载荷数据。
- 第一阶段攻击从多个社交媒体账户下载经过编码的shellcode。
- 解密后的shellcode作为反射式加载器,直接将Cobalt Strike Beacon注入内存。
- 大多数受害者位于俄罗斯IT和能源行业,攻击者行为特征与'东风'APT组织相似。
❓
延伸问答
这次网络间谍活动的主要目标是什么?
主要目标是俄罗斯及其他国家的大中型企业,尤其是IT和能源行业。
攻击者使用了哪些技术进行网络攻击?
攻击者使用了社交媒体、DLL劫持技术和伪装钓鱼邮件等手段。
攻击活动的高峰期是什么时候?
攻击活动在2025年4月达到高峰。
攻击者是如何伪装成合法公司的?
攻击者伪装成大型国有油气公司,发送鱼叉式钓鱼邮件以增强可信度。
Cobalt Strike Beacon的作用是什么?
Cobalt Strike Beacon用于在受感染的系统中建立持久的控制和通信。
攻击者如何利用合法平台存储恶意载荷?
攻击者滥用GitHub、Quora和Microsoft Learn Challenge等平台,存储加密载荷数据。
🏷️
标签
➡️
