我们发现与已知APT组织DONOT(也称为APT-C-35)相关的攻击活动,目标是巴基斯坦支持海事和国防部门的制造业。攻击者使用伪装成RTF文件的恶意LNK文件作为初始感染向量,通过PowerShell解密并传递诱饵RTF文件和有效载荷。攻击者还创建了一个计划任务,以每五分钟运行一次恶意DLL文件,确保恶意软件的持久性。此外,攻击者生成随机域名作为备份C&C服务器,与以往相比,C&C通信的加密方法也有所改变,使用AES加密和Base64编码来逃避检测。攻击者在交付最终有效载荷之前收集受害者系统信息,以评估目标的价值。攻击者使用环境变量存储关键配置详细信息,如C&C地址和任务信息。
原文链接:
http://rpfiles.threatexpert.cn:8100/%E8%82%9A%E8%84%91%E8%99%AB/reports/2024-11-15-DONOT%20%E7%BB%84%E7%BB%87%E5%AF%B9%E5%B7%B4%E5%9F%BA%E6%96%AF%E5%9D%A6%E6%B5%B7%E4%BA%8B%E5%92%8C%E5%9B%BD%E9%98%B2%E5%B7%A5%E4%B8%9A%E5%8F%91%E8%B5%B7%E7%BD%91%E7%BB%9C%E6%94%BB%E5%87%BB.pdf
原文始发于微信公众号(狼蛛安全实验室):疑似南亚DONOT组织针对巴基斯坦海事与国防制造业的APT攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论