详细内容或原文请订阅后点击阅览
与中国有关的黑客在长期间谍活动中瞄准美国非营利组织
一个与中国有关的组织以一家美国非营利组织为目标,以获得长期访问权限,这是对与政策问题相关的美国实体进行更广泛攻击的一部分。与中国有关的黑客于 2025 年 4 月入侵了美国一家以政策为重点的非营利组织,并保持了数周的访问权限。他们通过 vetysafe.exe 使用 DLL 侧载,这是其他中国 APT 组织(例如 Space Pirates、Kelp 和 [...]
来源:Security Affairs _恶意软件与中国有关的黑客在长期间谍活动中瞄准美国非营利组织
皮耶路易吉·帕格尼尼 2025 年 11 月 8 日一个与中国有关的组织以一家美国非营利组织为目标,以获得长期访问权限,这是对与政策问题相关的美国实体进行更广泛攻击的一部分。
与中国有关的黑客于 2025 年 4 月入侵了美国一家以政策为重点的非营利组织,并保持了数周的访问权限。他们通过 vetysafe.exe 使用 DLL 旁加载,这是其他中国 APT 组织(例如 Space Pirates、Kelp 和 Earth Longzhi(APT41 子组织))使用的策略。该组织利用 Imjpuexc(一个用于东亚输入的 Microsoft 文件)来掩盖活动。
vetysafe.exe 太空海盗 海带 大地龙之 APT41 Imjpuexc“与中国有关的行为者继续对与政策问题有联系或参与政策问题的美国组织表现出兴趣,包括今年早些时候入侵一家积极试图影响美国政府在国际问题上的政策的美国非营利组织。”博通旗下赛门铁克发布的报告中写道。 “当威胁行为者在 2025 年 4 月获得网络访问权数周时,他们似乎决心建立持久性并保持对网络的长期访问权。”
报告2025 年 4 月 5 日,大规模扫描针对具有多个公开漏洞的服务器(Log4j、Atlassian OGNL CVE-2022-26134、Apache Struts CVE-2017-9805、GoAhead RCE CVE-2017-17562 等)。该活动于 4 月 16 日恢复,进行了侦察,攻击者对外部站点和 192.0.0 [.]88 重复使用了curl命令,表明连接测试和到达该主机的困难。攻击者运行 netstat 来枚举 TCP 连接,然后创建一个持久计划任务“\Microsoft\Windows\Ras\Outbound”,每小时以 SYSTEM 身份运行 msbuild.exe 来执行 outbound.xml,这可能会将代码注入到连接到 C2(hxxp://38.180.83[.]166/6CDF0FC26CDF0FC2)的 csc.exe 中。 02:50 执行了一个自定义加载程序,将加密的有效负载(可能是 RAT)加载到内存中。
Log4j 归因于海带 在 Twitter 上关注我: @securityaffairs 和