详细内容或原文请订阅后点击阅览
CL-STA-1087 自 2020 年起瞄准军事能力
与中国有关的 APT 组织 CL-STA-1087 自 2020 年以来一直使用 AppleChris 和 MemFun 将东南亚军队作为目标。至少自 2020 年以来,一项涉嫌与中国有关的间谍活动(编号为 CL-STA-1087)已使用 AppleChris 和 MemFun 恶意软件以东南亚军事组织为目标。 “该活动展示了战略行动的耐心和对高度针对性的情报收集的关注,而不是批量 [...]
来源:Security Affairs _恶意软件CL-STA-1087 自 2020 年起瞄准军事能力
与中国有关的 APT 组织 CL-STA-1087 自 2020 年以来一直使用 AppleChris 和 MemFun 将东南亚军队作为目标。
至少自 2020 年以来,一项涉嫌与中国相关的间谍活动(编号为 CL-STA-1087)已使用 AppleChris 和 MemFun 恶意软件以东南亚军事组织为目标。
“该活动展示了战略行动耐心,并注重高度针对性的情报收集,而不是大量数据盗窃。该集群背后的攻击者积极搜索并收集有关军事能力、组织结构以及与西方武装部队合作的高度具体的文件。”阅读 Palo Alto Networks 发布的报告。 “恶意活动中使用的面向目标的工具集包括几个新发现的资产:AppleChris 和 MemFun 后门,以及定制的 Getpass 凭证收集器。”
Cortex XDR 检测到可疑的 PowerShell 活动,揭示了长期入侵。网络间谍在非托管端点上保持持久性,使用脚本为多个 C2 服务器创建反向 shell。威胁行为者在恢复运营之前已休眠数月,通过 WMI 和 .NET 命令将 AppleChris 后门传播到关键服务器、工作站和执行资产。攻击者利用 DLL 劫持和多种恶意软件变体来逃避检测。
CL-STA-1087 还使用了一个名为 MemFun 的模块化、多阶段后门,它由 GoogleUpdate.exe 加载程序、内存下载程序和从 C2 服务器检索的最终 DLL 有效负载组成。它完全在内存中运行,使用进程空洞、反射 DLL 加载以及时间戳和内存归零等反取证技术。
加载程序通过自定义 HTTP 命令与 C2 通信,使用特定于会话的 Blowfish 加密来安全地检索和执行最终的 MemFun 负载,从而实现隐秘、灵活的操作,而不会在磁盘上留下痕迹。