详细内容或原文请订阅后点击阅览
Timitator:新一代黑客攻击中国关键基础设施
Rust 软件、假签名以及与 OceanLotus 的连接。还有什么会让团队感到惊讶的?
来源:安全实验室新闻频道Rust 软件、假签名以及与 OceanLotus 的连接。还有什么会让团队感到惊讶的?
2022年至2023年间,网络攻击组织Timitator积极攻击中国能源、科学和军事机构。这些攻击是使用网络钓鱼和其他旨在破坏目标系统的方法进行的。
正在积极攻击Timitator 组织使用了各种恶意文件格式,例如“.exe”、“.chm”、“.iso”和“.lnk”。成功启动受感染的文件后,第一阶段是下载CobaltStrike以建立稳定的连接,然后通过它下载自定义恶意代码,使您能够评估网络并为每个受感染的设备制定单独的攻击计划。
近日,迅信实验室检测到新一批来自Timitator恶意软件的钓鱼实例。他们没有使用 CobaltStrike,而是使用了用 Rust 编写的远程管理工具。其中一些文件具有伪装成合法软件的虚假 Microsoft 签名和描述。
铁锈Timitator 组织经常使用 DLL Sideloading 技术,将合法程序与恶意库结合起来。例如,恶意WTSAPI32.dll库与NitroSense温度控制系统一起使用,Log.dll与Bitdefender防病毒软件一起使用。这些恶意库受到 VMP 包装器的保护,但由于缺乏合法签名,它们的防病毒效果降低了。
DLL 旁加载在分析过程中,确定下载 shellcode 的第一阶段与之前归属于另一个黑客组织 OceanLotus 的样本相匹配。这表明 Timitator 和 OceanLotus 之间可能存在关系。