详细内容或原文请订阅后点击阅览
中国链接的APT Phantom Taurus在针对关键部门的间谍活动中使用Net-Star恶意软件
与中国相关的 APT Phantom Taurus 在两年多的时间里使用 Net-Star 恶意软件针对政府和电信组织进行间谍活动。中国关系 APT Phantom Taurus 使用 Net-Star 恶意软件和独特的 TTP 来针对政府和电信组织进行间谍活动。 Phantom Taurus 是一个之前没有记录的中国 APT,它的目标是非洲、中东等地区的实体,[...]
来源:Security Affairs _恶意软件与中国有关的 APT Phantom Taurus 使用 Net-Star 恶意软件对关键部门进行间谍活动
与中国相关的 APT Phantom Taurus 在两年多的时间里使用 Net-Star 恶意软件针对政府和电信组织进行间谍活动。
中国关系 APT Phantom Taurus 使用 Net-Star 恶意软件和独特的 TTP 来针对政府和电信组织进行间谍活动。
Phantom Taurus 是一个之前没有记录的中国 APT,它已针对非洲、中东和亚洲的实体进行了超过 2.5 年的攻击。 APT 的活动重点是外交部、大使馆、地缘政治事件和军事行动。帕洛阿尔托网络公司的研究人员进行秘密、持续的间谍活动。其独特的 TTP 和定制的 NET-STAR 工具可实现隐蔽、长期访问,这使其与其他中国 APT 区分开来。
专家们于 2023 年首次发现该组织,该组织进行了高度隐蔽的行动,并长期保持对知名目标的接触。
Phantom Taurus 使用共享的中国 APT 基础设施,但组件不同。其独特的 TTP 和自定义工具(包括 Spectre、Ntospy 和 NET-STAR)使其与其他参与者区分开来。研究人员利用钻石模型证实,观察到的活动代表了一个新的、独立的威胁行为者,与中国战略情报的优先事项一致。
Phantom Taurus 在 2025 年初从窃取电子邮件转向以数据库为目标。他们使用脚本 mssq.bat 通过泄露的凭据连接到 SQL Server 数据库。然后攻击者执行查询,将结果导出到 CSV,并关闭连接。他们通过 WMI 部署了该脚本,重点关注与阿富汗和巴基斯坦等国家相关的文件。这标志着他们之前以电子邮件为中心的行动的战术演变。
mssq.bat WMI 上一篇文章 报告在 Twitter 上关注我:@securityaffairs、Facebook 和 Mastodon