威胁情报 | ADS 之殇，Confucius 组织利用 ADS 隐藏载荷攻击宗教相关人士

文章预览

作 者： 知道创宇404高级威胁情报团队 时间：2024年9月25日 1.1 事件背景 参考资料 近期，知道创宇404高级威胁情报团队在日常跟踪APT过程中发现了疑似Confucius组织针对某国宗教人士的攻击活动，攻击者通过宗教相关的诱饵诱使相关人员点击并加载最终的窃密木马。 此次攻击活动有如下特点： 首次发现利用NTFS文件系统ADS(备用数据流)进行载荷隐藏，隐蔽性较高。 利用windows系统文件fixmapi.exe侧载恶意载荷。 继续使用特有C#木马WooperStealer进行文件窃取。 整个攻击活动杀伤链与Confucius近两年来的攻击极其相似，此类型攻击需提前关注，并加强防范。 1.2 组织概述 参考资料 Confucius组织（又称“魔罗桫”）于2016年被国外安全厂商披露，据悉最初的攻击活动可追溯到2013年。该组织主要针对南亚及东亚地区政府、军事等重要单位，近年来不断发现针对国内重点 ………………………………