详细内容或原文请订阅后点击阅览
中国通过劫持网络流量链接的UNC6384目标外交官
通过劫持Web流量将其重定向到交付恶意软件的网站,通过劫持网络流量将其定向的APT APT Group UNC6384目标外交官。通过劫持Web流量将网络流量重定向到用于交付恶意软件的网站,与中国相关的网络增长组UNC6384针对外交官。网络私人使用高级对手劫持了网络的圈养门户[…]
来源:Security Affairs _恶意软件中国通过劫持网络流量链接的UNC6384目标外交官
通过劫持Web流量将其重定向到交付恶意软件的网站,通过劫持网络流量将其定向的APT APT Group UNC6384目标外交官。
通过劫持网络流量重定向到用于交付恶意软件的网站,与中国相关的网络增长组UNC6384针对的外交官,Google的威胁情报集团(GTIG)警告。
网络私人使用高级对手(AITM)技术劫持了网络的圈养门户,以提供恶意软件。 Gtig将该集团(UNC6384)与中国威胁演员Temp.hex(也称为野马熊猫)联系起来。
AITM 野马熊猫在2025年3月,Google确定了UNC6384的复杂网络间谍活动,针对东南亚和全球的外交官。攻击通过圈养门户重定向劫持了网络流量,提供了安装Puginx Backxoor(Sogu.sec)的签名下载器(Staticplugin)。
插件后门GTIG发现,攻击者劫持了圈养门户,以交付伪装成Adobe插件更新的恶意软件。
攻击者欺骗目标是通过使用HTTPS和有效的TLS证书通过假软件更新网站下载以“插件更新”为“插件更新”的恶意软件。该页面看起来合法,显示一个带有“安装缺失插件的插件”按钮的空白着陆页。单击时,JavaScript触发“ Adobeplugins.exe”的下载,同时显示带有执行指令的背景图像。伪造的安装程序运行,但是Sogu.sec后门已经活跃,绕过Windows安全性。
合法的浏览器重定向(通过gstatic.com)被滥用在中间的对手(AITM)攻击中,这可能是通过折衷的边缘设备,尽管初始折衷方法仍然未知。
“ http://www.gstatic.com/generate_204
报告
“ gstatic.com”是一个合法的领域,我们的调查发现了从该领域的重定向链,导致威胁行为者的着陆网页和随后的恶意软件交付,表明AITM攻击。”
gstatic.com
使用
隐身