针对中国用户的SLOW#TEMPEST 行动中DLL劫持分析

文章预览

    近日被 Securonix 威胁研究人员确定为 SLOW#TEMPEST 的攻击活动报告中披露了一个名为使用UI.exe进行DLL 劫持攻击的攻击手法。文中指出"该活动似乎专门针对中国境内的受害者，文件名和诱饵主要以中文书写即可证明这一点。此外，威胁行为者使用的所有命令和控制 (C2) 基础设施均由中国公司深圳腾讯计算机系统有限公司托管在中国。仔细查看恶意样本的遥测数据表明，所涉及的大多数恶意软件和文件都来自中国境内，这进一步证实了中国确实是此次攻击的主要目标的可能性。"同时表示使用进行攻击的LicensingUI.exe 的这种 DLL 侧载或劫持技术似乎尚未被报道。所以进行分析一波。     在Securonix 威胁研究人员捕捉的"20240739人员名单信息.zip"样本中包含一个名为"违规远程控制软件人员名单.docx.lnk"伪装成 .docx 文件的 LNK 文件和隐藏起来的dui70.dll、UI.exe ………………………………