安全不是一个人,我们来自五湖四海。研究方向Web内网渗透,免杀技术,红蓝攻防对抗,CTF。
今天看啥  ›  专栏  ›  Khan安全攻防实验室

针对中国用户的SLOW#TEMPEST 行动中DLL劫持分析

Khan安全攻防实验室  · 公众号  ·  · 2024-09-04 16:00
    

文章预览

    近日被 Securonix 威胁研究人员确定为 SLOW#TEMPEST 的攻击活动报告中披露了一个名为使用UI.exe进行DLL 劫持攻击的攻击手法。文中指出"该活动似乎专门针对中国境内的受害者,文件名和诱饵主要以中文书写即可证明这一点。此外,威胁行为者使用的所有命令和控制 (C2) 基础设施均由中国公司深圳腾讯计算机系统有限公司托管在中国。仔细查看恶意样本的遥测数据表明,所涉及的大多数恶意软件和文件都来自中国境内,这进一步证实了中国确实是此次攻击的主要目标的可能性。"同时表示使用进行攻击的LicensingUI.exe 的这种 DLL 侧载或劫持技术似乎尚未被报道。所以进行分析一波。     在Securonix 威胁研究人员捕捉的"20240739人员名单信息.zip"样本中包含一个名为"违规远程控制软件人员名单.docx.lnk"伪装成 .docx 文件的 LNK 文件和隐藏起来的dui70.dll、UI.exe ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览