警惕来自Timitator组织RUST特马的攻击
💡
原文中文,约5200字,阅读约需13分钟。
📝
内容提要
自2022年以来,Timitator APT组织一直针对中国的能源、大学、研究机构和军工行业进行攻击。他们使用钓鱼和N-day攻击来传递各种格式的恶意载荷。该组织模仿其他组织的战术,被不同来源称为“Timitator”或“apt-q-77”。最近,他们开始使用基于Rust的远程控制工具,而不是CobaltStrike。样本还显示了使用VMP虚拟外壳的情况。该组织采用了多种技术来逃避检测,包括使用伪造的微软签名和伪装成合法软件。分析的样本显示使用NSIS安装程序、Log.dll和SogouInput.dll来执行恶意活动。最终的恶意载荷是一个基于Rust的远程访问工具,具有远程命令执行、文件窃取和代码执行功能。该组织过去还使用过基于Golang的远程访问工具。文章提供了进一步调查的IOCs。
🎯
关键要点
- Timitator APT组织自2022年以来针对中国的能源、高校、科研机构及军工行业进行攻击。
- 该组织使用钓鱼和N-day攻击手段,模仿其他组织的战术。
- 近期,Timitator开始使用基于Rust的远程控制工具替代CobaltStrike。
- 攻击样本显示使用VMP虚拟外壳和伪造的微软签名来逃避检测。
- 恶意载荷包括NSIS安装程序、Log.dll和SogouInput.dll,最终载荷为Rust编写的远程访问工具。
- 该组织的攻击技术不断演变,过去也使用过基于Golang的远程访问工具。
- 深信服蓝军APT团队持续监控该组织的活动,并提供相关的IOC信息以供进一步调查。
➡️
