主要观点总结
知道创宇404高级威胁情报团队发现了疑似Confucius组织针对某国宗教人士的攻击活动。此次攻击首次发现利用NTFS文件系统ADS进行载荷隐藏,利用windows系统文件fixmapi.exe侧载恶意载荷,并使用C#木马WooperStealer进行文件窃取。整个攻击活动与Confucius组织近年攻击相似,提醒关注并加强防范。文章还描述了攻击过程、组织概述、分析描述、归因及总结等。
关键观点总结
关键观点1: 攻击活动特点
利用NTFS文件系统ADS进行载荷隐藏,隐蔽性高;利用windows系统文件fixmapi.exe侧载恶意载荷;使用C#木马WooperStealer进行文件窃取。
关键观点2: 组织概述
Confucius组织(又称“魔罗桫”)于2016年被披露,最初攻击活动可追溯到2013年。主要针对南亚及东亚地区政府、军事等重要单位。
关键观点3: 攻击过程分析
攻击者通过宗教相关的诱饵诱使相关人员点击并加载窃密木马。整个攻击链包括利用NTFS文件系统数据流机制隐藏恶意载荷和诱饵文档,使用LNK文件指令参数进行特定操作,如复制文件、运行特定程序等。
关键观点4: 归因及总结
确定本次攻击活动出自Confucius组织。该组织在攻击方面使用新的技术,如利用ADS隐藏攻击意图,但国内暂未发现相关的攻击样本上传,仍需谨慎对待未知邮件和带有诱惑力的文档。
文章预览
作 者: 知道创宇404高级威胁情报团队 时间:2024年9月25日 1.1 事件背景 参考资料 近期,知道创宇404高级威胁情报团队在日常跟踪APT过程中发现了疑似Confucius组织针对某国宗教人士的攻击活动,攻击者通过宗教相关的诱饵诱使相关人员点击并加载最终的窃密木马。 此次攻击活动有如下特点: 首次发现利用NTFS文件系统ADS(备用数据流)进行载荷隐藏,隐蔽性较高。 利用windows系统文件fixmapi.exe侧载恶意载荷。 继续使用特有C#木马WooperStealer进行文件窃取。 整个攻击活动杀伤链与Confucius近两年来的攻击极其相似,此类型攻击需提前关注,并加强防范。 1.2 组织概述 参考资料 Confucius组织(又称“魔罗桫”)于2016年被国外安全厂商披露,据悉最初的攻击活动可追溯到2013年。该组织主要针对南亚及东亚地区政府、军事等重要单位,近年来不断发现针对国内重点
………………………………
