警惕来自Timitator组织RUST特马的攻击

自2022年以来，Timitator APT组织一直针对中国的能源、大学、研究机构和军工行业进行攻击。他们使用钓鱼和N-day攻击来传递各种格式的恶意载荷。该组织模仿其他组织的战术，被不同来源称为“Timitator”或“apt-q-77”。最近，他们开始使用基于Rust的远程控制工具，而不是CobaltStrike。样本还显示了使用VMP虚拟外壳的情况。该组织采用了多种技术来逃避检测，包括使用伪造的微软签名和伪装成合法软件。分析的样本显示使用NSIS安装程序、Log.dll和SogouInput.dll来执行恶意活动。最终的恶意载荷是一个基于Rust的远程访问工具，具有远程命令执行、文件窃取和代码执行功能。该组织过去还使用过基于Golang的远程访问工具。文章提供了进一步调查的IOCs。