韩国黑客组织 APT-C-60 攻击日本目标

admin 2024年11月28日10:28:19评论79 views字数 1496阅读4分59秒阅读模式

导 

被称为APT-C-60 的威胁组织与针对日本某个未具名组织的网络攻击有关,该攻击使用以求职主题为诱饵来投放 SpyGlace 后门。

这是根据 JPCERT/CC 的调查结果得出的结论,该调查显示,入侵利用了 Google Drive、Bitbucket 和 StatCounter 等合法服务。攻击发生在 2024 年 8 月左右。

该机构表示:“在此次攻击中,一封声称来自潜在员工的电子邮件被发送给该组织的招聘联系人,从而使该联系人感染了恶意软件。”

APT-C-60 是一个与韩国结盟的网络间谍组织,该组织以东亚国家为目标。2024 年 8 月,该组织被发现利用 Windows 版 WPS Office (CVE-2024-7262) 中的远程代码执行漏洞来投放名为 SpyGlace 的自定义后门。

JPCERT/CC 发现的攻击链涉及使用一封网络钓鱼电子邮件,其中包含指向托管在 Google Drive 上的文件的链接,这是一个虚拟硬盘驱动器 (VHDX) 文件,下载并安装后,该文件包含一个诱饵文档和一个 Windows 快捷方式(“Self-Introduction.lnk”)。

韩国黑客组织 APT-C-60 攻击日本目标

VHDX 文件内容

LNK文件负责触发感染链中的后续步骤,同时还显示诱饵文档以分散注意力。

这需要启动一个名为“SecureBootUEFI.dat”的下载器/投放器有效载荷,然后使用合法的网络分析工具 StatCounter 传输一个字符串,该字符串可以使用HTTP referer 字段唯一地标识受害设备。字符串值来自计算机名称、主目录和用户名并经过编码。

韩国黑客组织 APT-C-60 攻击日本目标

然后,下载程序使用编码的唯一字符串访问 Bitbucket 以检索下一阶段,即称为“Service.dat”的文件,该文件从不同的 Bitbucket 存储库下载另外两个工件 - “cbmp.txt”和“icon.txt” - 分别保存为“cn.dat”和“sp.dat”。

“Service.dat”还使用一种称为COM劫持的技术在受感染主机上持久保存“cn.dat” ,之后后者执行SpyGlace后门(“sp.dat”)。

后门与命令和控制服务器(“103.187.26[.]176”)建立联系,并等待进一步的指令,以允许其窃取文件、加载其他插件并执行命令。

网络安全公司创宇 404 Lab和Positive Technologies均已独立报道了投放 SpyGlace 恶意软件的相同活动,同时强调了指向 APT-C-60 和APT-Q-12 (又名 Pseudo Hunter)是DarkHotel APT集群内分支机构的证据。

Positive Technologies 表示:“亚洲地区的犯罪团伙继续使用非标准技术将恶意软件传播到受害者的设备。其中一种技术是使用 VHD/VHDX 格式的虚拟磁盘来绕过操作系统的保护机制。”

技术报告:

https://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html

https://mp.weixin.qq.com/s/qsgzOg-0rZfXEn4Hfj9RLw

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/darkhotel-a-cluster-of-groups-united-by-common-techniques

新闻链接:

https://thehackernews.com/2024/11/apt-c-60-exploits-wps-office.html

韩国黑客组织 APT-C-60 攻击日本目标

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):韩国黑客组织 APT-C-60 攻击日本目标

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月28日10:28:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   韩国黑客组织 APT-C-60 攻击日本目标https://cn-sec.com/archives/3443952.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息