黑客正在日本的工业组织中植入多个后门

网络安全研究人员周二披露了一项复杂活动的详细信息，该活动部署了恶意后门，目的是从日本许多行业中窃取信息。

卡巴斯基研究人员将其称为“ A41APT”，该发现深入研究了APT10（又名Stone Panda或Cicada）使用先前未记录的恶意软件进行的一系列新攻击，以提供多达3种有效负载，如SodaMaster，P8RAT和FYAnti。

长期运行的情报收集行动于2019年3月首次进入现场，并于2020年11月发现了活动，当时有报道称与日本有关联的公司成为全球17个以上区域的威胁参与者的目标。

卡巴斯基发现的最新攻击据说发生在2021年1月。感染链利用了多阶段攻击过程，最初的入侵是通过利用未修补的漏洞或被盗凭据通过滥用SSL-VPN发生的。

该活动的中心是一种称为Ecipekac的恶意软件（反向称为“蛋糕”，但带有错字），它通过使用四个文件来“加载和解密四个无文件加载器模块”，从而遍历四层“复杂加载模式”。另一个最终将最终的有效负载加载到内存中。”

虽然P8RAT和SodaMaster的主要目的是下载并执行从攻击者控制的服务器中检索到的有效负载，但卡巴斯基的调查并未提供有关在目标Windows系统上交付的确切恶意软件的任何线索。

有趣的是，第三个有效载荷FYAnti本身就是一个多层加载程序模块，它经过两个以上连续的层，以部署称为QuasarRAT（或xRAT）的末级远程访问特洛伊木马。

卡巴斯基研究员Ishimaru Suguru Ishimaru说： “战役的运作和植入……非常隐蔽，难以追踪威胁者的活动。” “主要的隐形功能是无文件植入，模糊处理，抗虚拟机以及清除活动痕迹。

原文来自: thehackernews.com