Yokai 后门攻击活动利用 DLL 侧载技术攻击泰国官员

admin

140552
文章

117
评论

2024年12月16日11:45:42评论33 views字数 3142阅读10分28秒阅读模式

导读

泰国政府官员已成为新黑客活动的目标，该活动利用一种名为DLL 侧载的技术来投放之前未记录的名为Yokai 的后门。

Netskope 安全专家 Nikhil Hegde 称：“威胁组织的目标是泰国官员。Yokai 后门本身不受限制，可用于对付任何潜在目标。”

攻击链的起点是一个 RAR 档案，其中包含两个以泰语命名的 Windows 快捷方式文件，翻译为“美国司法部.pdf”和“美国政府请求在刑事问题上进行国际合作.docx”。

目前尚不清楚用于传递有效载荷的确切初始载体，但 Hegde 推测它可能是鱼叉式网络钓鱼，因为它使用了诱饵，而且 RAR 文件已被用作网络钓鱼电子邮件中的恶意附件。

启动快捷方式文件会分别打开诱饵 PDF 和 Microsoft Word 文档，同时还会在后台悄悄释放恶意可执行文件。这两个诱饵文件都与泰国人Woravit Mektrakarn有关，他因涉嫌墨西哥移民失踪而被美国通缉。Mektrakarn 于 2003 年被控谋杀，据说他已逃往泰国。

诱饵文件

可执行文件旨在释放另外三个文件：与 iTop 数据恢复应用程序关联的合法二进制文件（“IdrInit.exe”）、恶意 DLL（“ProductStatistics3.dll”）以及包含攻击者控制的服务器发送的信息的 DATA 文件。在下一阶段，“IdrInit.exe”被滥用来侧载 DLL，最终导致后门的部署。

Yokai 负责在主机上设置持久性并连接到命令和控制 (C2) 服务器，以接收允许其在主机上生成 cmd.exe 并执行 shell 命令的命令代码。

技术报告：

https://www.netskope.com/blog/new-yokai-side-loaded-backdoor-targets-thai-officials

新闻链接：

https://thehackernews.com/2024/12/thai-officials-targeted-in-yokai.html

今日安全资讯速递

APT事件

Advanced Persistent Threat

Yokai 后门攻击活动利用 DLL 侧载技术攻击泰国官员

https://thehackernews.com/2024/12/thai-officials-targeted-in-yokai.html

Winnti 黑客利用新的 Glutton PHP 后门攻击其他威胁组织

https://www.bleepingcomputer.com/news/security/winnti-hackers-target-other-threat-actors-with-new-glutton-php-backdoor/

与伊朗有关的 IOCONTROL 恶意软件针对 SCADA 和基于 Linux 的物联网平台

https://thehackernews.com/2024/12/iran-linked-iocontrol-malware-targets.html

网络犯罪工具成为侵入乌克兰军事设备的途径

https://therecord.media/turla-secret-blizzard-russia-espionage-ukraine-cybercrime-tools

一般威胁事件

General Threat Incidents

Clop 勒索软件组织对利用Cleo0day窃取数据负责

https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-cleo-data-theft-attacks/

新的 Linux 恶意软件 Pumakit 成功隐藏自身

https://www.techzine.eu/news/security/127133/new-linux-malware-pumakit-manages-to-hide-itself/

390,000+ WordPress 凭证通过恶意 GitHub 存储库托管 PoC 漏洞被窃取

https://thehackernews.com/2024/12/390000-wordpress-credentials-stolen-via.html

一场通过 Cleo MFT 软件0day漏洞利用部署 Java 后门的大规模攻击活动

https://arcticwolf.com/resources/blog/cleopatras-shadow-a-mass-exploitation-campaign/

CISA 警告勒索软件团伙利用 Cleo、CyberPanel 漏洞

https://therecord.media/cisa-ransomware-cleo-cyberpanel-bugs

黑客声称获得加州 PIH Health 医院的 1700 万份患者记录

https://abc7.com/post/hackers-claim-obtained-17-million-patient-records-pih-health-hospitals-socal-report-says/15650598/

德国发现 30,000 台 Android 设备预装恶意软件

https://me.pcmag.com/en/security/27500/30000-android-devices-found-preinstalled-with-malware-in-germany

日本游戏和动漫出版商向与俄罗斯勒索黑客支付了 300 万美元赎金

https://therecord.media/kadokawa-japan-reported-ransomware-payment

漏洞事件

Vulnerability Incidents

研究人员发现 iOS 和 macOS 中允许绕过 TCC 的符号链接漏洞

https://thehackernews.com/2024/12/researchers-uncover-symlink-exploit.html

OpenWrt 严重漏洞使设备面临恶意固件注入风险

https://thehackernews.com/2024/12/critical-openwrt-vulnerability-exposes.html

戴尔产品存在严重漏洞，可导致攻击者入侵受影响系统

https://cybersecuritynews.com/dell-vulnerabilities-alert/

部分高通 CPU 在主流 Linux 上暴露于 Spectre 漏洞

https://www.phoronix.com/news/Qualcomm-Spectre-Mainline-Patch

微软修补了服务器端更新目录和 Windows Defender 中潜在的严重漏洞

https://www.securityweek.com/microsoft-patches-vulnerabilities-in-windows-defender-update-catalog/

对 Cleo 文件传输软件中严重漏洞的利用仍在继续

https://www.cybersecuritydive.com/news/security-cleo-file-transfer-cve-delayed/735517

锐捷Reyee云管理平台发现严重漏洞

https://www.securityweek.com/critical-vulnerabilities-found-in-ruijie-reyee-cloud-management-platform/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号（军哥网络安全读报）：Yokai 后门攻击活动利用 DLL 侧载技术攻击泰国官员

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Yokai 后门攻击活动利用 DLL 侧载技术攻击泰国官员

非域环境的身份突破

苹果修复iOS、macOS 平台上的多个严重漏洞

VMware Tools 存在允许攻击者篡改文件以触发恶意作漏洞

深度分析：迪奥数据泄露事件，云配置失当的锅？

热点|奢侈品巨头迪奥20万中国用户信息泄露，数据安全再拉警报！

趁乱上位，欧洲漏洞数据库上线

Linux之父认为机械键盘有助于减少输入错误

Sophos 发现基于 SVG 的网络钓鱼攻击威胁日益严重

ESET研究：“巫师”（TheWizards）高级持续性威胁组织利用SLAAC欺骗进行中间人攻击

突发！中国客户信息外泄，迪奥紧急提醒：不要点不明链接，不要透露验证码！泄露信息含消费金额、姓名、手机号……

发表评论

在线咨询

微信