APT34使用SideTwist变种木马开展新一轮网络钓鱼活动
💡
原文中文,约3200字,阅读约需8分钟。
📝
内容提要
绿盟科技发现APT34伪装成GGMS公司进行钓鱼攻击,投放SideTwist变种木马。APT34是伊朗APT组织,活跃于中东。木马功能包括CnC通信、执行命令和文件操作。APT34的CnC地址为11.0.188.38:443。
🎯
关键要点
- 绿盟科技发现APT34伪装成GGMS公司进行钓鱼攻击,投放SideTwist变种木马。
- APT34是一个疑似来自伊朗的APT组织,自2014年以来活跃于中东,主要针对金融、政府、能源等行业。
- APT34使用的诱饵文档名为“GGMS Overview.doc”,目标为企业用户,上传记录位于美国。
- 攻击流程中,恶意宏代码提取并释放木马程序SystemFailureReporter.exe,并创建计划任务每5分钟调起木马。
- SideTwist变种木马与之前的版本功能相似,主要用于CnC通信、执行命令和文件操作。
- 木马通过生成的受害者ID与CnC建立通信,解析返回的指令并执行相应操作。
- 本次活动中使用的CnC地址为11.0.188.38:443,当前未提供服务,归属美国国防部网络信息中心。
- APT34的攻击活动展示了其攻击思路和新型木马,可能是试探性攻击,未启用真实CnC地址。
➡️
