APT35活动:从美国到阿联酋,针对航空航天、半导体

admin 2024年12月4日13:04:16评论16 views字数 1001阅读3分20秒阅读模式
APT35活动:从美国到阿联酋,针对航空航天、半导体
APT35活动:从美国到阿联酋,针对航空航天、半导体
诱饵PDF文档|图片:ThreatBook

E安全消息,ThreatBook研究与响应团队揭露了APT35的复杂网络攻击活动。活动针对美国、泰国、阿联酋等多个国家的航空航天和半导体行业。

APT35也称为Magic Hound或Charming Kitten,这个由伊朗支持、与伊斯兰革命卫队(IRGC)有关联的组织,自2014年以来就有着一系列高调的网络攻击历史。

在其一个活动中,APT35推出一个虚假招聘网站,针对泰国航空航天领域的无人机设计专家。网站发布高薪职位,增加了骗局的合法性。

根据ThreatBook的说法,攻击者在他们的“授权访问”服务中混合了合法程序和恶意模块,“该网站提供的授权访问程序混合了两个白色和黑色的恶意样本,其中SignedConnection.exe是合法的OneDrive程序,secur32.dll,Qt5Core.dll分别是第一阶段和第二阶段的恶意程序。”

APT35活动:从美国到阿联酋,针对航空航天、半导体
静默加载恶意程序
图片:ThreatBook

用C#编写的恶意模块secur32.dll,悄无声息地加载了恶意软件的后续阶段,采用了字符串重构等混淆技术来逃避检测。

APT35的方法包括通过重命名文件和注册表键操作来部署复杂的多阶段有效载荷,以实现持久性。该组织还利用Google Cloud、GitHub和OneDrive等合法平台进行命令与控制(C&C)通信。

“通过对相关样本、IP和域名的分析,提取了多个相关的IOC,用于威胁情报检测。”ThreatBook报告称。

恶意软件还利用GitHub存储库和预配置的备份C&C域名,以确保在主要地址被封锁时保持连通性。这种适应性表明APT35致力于保持运营的弹性。

另一个值得注意的策略是针对半导体公司的假冒VPN程序。VPN安装程序被设置为加载一个名为msvcp.dll的恶意DLL模块,该模块充当下载器,攻击者能够从合法云平台上的C&C服务器获取额外的有效载荷。

“利用VPN访问程序加载恶意DLL模块msvcp.dll,它与Qt5Core.dll是同类型的下载器。”ThreatBook指出。

APT35的行动展示了其利用知名品牌和工具(如OneDrive和GitHub)的信任,渗透到高价值行业的能力。该组织广泛使用社会工程学策略,加上技术复杂性,这凸显了处理敏感技术的行业需要提高警惕。

原文始发于微信公众号(E安全):APT35活动:从美国到阿联酋,针对航空航天、半导体

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月4日13:04:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   APT35活动:从美国到阿联酋,针对航空航天、半导体https://cn-sec.com/archives/3466398.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息