详细内容或原文请订阅后点击阅览
中国通过劫持网络流量的链接式丝绸台风针对的外交官
通过劫持网络流量将其重定向到交付恶意软件的网站,通过劫持网络流量将其针对外交官的中国链接式丝绸台风针对外交官。通过劫持网络访问量将网络流量重定向到用于交付恶意软件的网站,与中国相关的网络播放集团丝绸台风针对外交官,Google的威胁情报集团(GTIG)警告。网络私人使用[…]
来源:Security Affairs _恶意软件中国通过劫持网络流量的链接式丝绸台风针对的外交官
通过劫持网络流量将其重定向到交付恶意软件的网站,通过劫持网络流量将其针对外交官的中国链接式丝绸台风针对外交官。
通过劫持网络访问量将网络流量重定向到用于交付恶意软件的网站,中国与中国相关的网络播放台面台风针对外交官。 丝绸台风 网络私人使用高级对手(AITM)技术劫持了网络的圈养门户,以提供恶意软件。 Gtig将该小组(UNC6384)与中国威胁演员Temp.hex(也称为野马熊猫或丝绸台风)联系起来。 AITM 野马熊猫 在2025年3月,Google确定了UNC6384的复杂网络间谍活动,针对东南亚和全球的外交官。攻击通过圈养门户重定向劫持了网络流量,提供了安装Puginx Backxoor(Sogu.sec)的签名下载器(Staticplugin)。 插件后门 GTIG发现,攻击者劫持了圈养门户,以交付伪装成Adobe插件更新的恶意软件。 攻击者欺骗目标是通过使用HTTPS和有效的TLS证书通过假软件更新网站下载以“插件更新”为“插件更新”的恶意软件。该页面看起来合法,显示一个带有“安装缺失插件的插件”按钮的空白着陆页。单击时,JavaScript触发“ Adobeplugins.exe”的下载,同时显示带有执行指令的背景图像。伪造的安装程序运行,但是Sogu.sec后门已经活跃,绕过Windows安全性。 合法的浏览器重定向(通过gstatic.com)被滥用在中间的对手(AITM)攻击中,这可能是通过折衷的边缘设备,尽管初始折衷方法仍然未知。 “ http://www.gstatic.com/generate_204 报告 gstatic.com 使用 隐身 检测 Google发布了妥协(IOC)和YARA规则,用于检测攻击中使用的恶意软件。 @securityaffairs Facebook mastodon Pierluigi Paganini
中国与中国相关的网络播放台面台风针对外交官。丝绸台风
网络私人使用高级对手(AITM)技术劫持了网络的圈养门户,以提供恶意软件。 Gtig将该小组(UNC6384)与中国威胁演员Temp.hex(也称为野马熊猫或丝绸台风)联系起来。 AITM野马熊猫
在2025年3月,Google确定了UNC6384的复杂网络间谍活动,针对东南亚和全球的外交官。攻击通过圈养门户重定向劫持了网络流量,提供了安装Puginx Backxoor(Sogu.sec)的签名下载器(Staticplugin)。插件后门
GTIG发现,攻击者劫持了圈养门户,以交付伪装成Adobe插件更新的恶意软件。
攻击者欺骗目标是通过使用HTTPS和有效的TLS证书通过假软件更新网站下载以“插件更新”为“插件更新”的恶意软件。该页面看起来合法,显示一个带有“安装缺失插件的插件”按钮的空白着陆页。单击时,JavaScript触发“ Adobeplugins.exe”的下载,同时显示带有执行指令的背景图像。伪造的安装程序运行,但是Sogu.sec后门已经活跃,绕过Windows安全性。
合法的浏览器重定向(通过gstatic.com)被滥用在中间的对手(AITM)攻击中,这可能是通过折衷的边缘设备,尽管初始折衷方法仍然未知。
“ http://www.gstatic.com/generate_204
报告
gstatic.com
使用
隐身
检测
Google发布了妥协(IOC)和YARA规则,用于检测攻击中使用的恶意软件。 @securityaffairs FacebookmastodonPierluigi Paganini