昨天圈内就开始流传某提权工具被植入后门
经微步研判,该事件为东南亚APT组织“海莲花”利用GitHub发布带有木马的Cobalt Strike漏洞利用插件,针对网络安全人员发起的定向攻击。
攻击者在此次攻击中首次使用了向Visual Studio工程中投递恶意.suo文件的攻击手法,当受害者编译该Visual Studio工程时,木马会自动执行,攻击方式新颖且隐蔽。
此次“海莲花”攻击的主要手法是在GitHub上发布安全工具开源项目
https://github.com/0xjiefeng
冒充国内知名企业员工
于2024年10月14号和10月21号,攻击者共发布两个恶意投毒项目,内容为国内常用红队工具Cobalt Strike 的插件,包含新的漏洞利用功能,攻击者在项目介绍中使用中文描述,以此来吸引更多的国内安全行业目标人员。
目前攻击者账号已将发布的项目删除,但是相关投毒项目代码已被合并到其他国内安全研究者的存储库中,至今仍可访问。
这次投毒攻击,国内不少安全行业公众号,均有转载分享此项目。
原文连接:https://mp.weixin.qq.com/s/ih36z93y6BazatjeoGjp1A
原文始发于微信公众号(网络安全透视镜):网安全牛马注意了!!!某提权工具被投毒植入后门
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论