ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → 中国LuckyMouse APT在最近的攻击中使用了数字签名的网络过滤驱动程序

中国LuckyMouse APT在最近的攻击中使用了数字签名的网络过滤驱动程序

时间:2018-09-12 00:00:00人气:作者:本站作者我要评论

安全专家在最近的攻击中使用数字签名的32位和64位网络过滤驱动程序NDISProxy观察了LuckyMouse APT组。
CE安全网的安全专家在最近的攻击中使用数字签名的32位和64位网络过滤驱动程序NDISProxy 观察了LuckyMouse APT小组(又名 Emissary Panda,APT27和Threat Group 3390)。

APT小组至少自2010年以来一直活跃,他们的目标是 全球的美国国防承包商和金融服务公司。

在2018年3月,CE安全网实验室的安全专家观察到了由中国APT小组提供的攻击,专家们推测该活动是在2017年秋季启动的。该攻击袭击了中亚一个未命名国家的国家数据中心。CE安全网,黑客正在准备一个水坑攻击。黑客试图将恶意JavaScript代码注入连接到数据中心的政府网站。

在过去几个月中,该组使用网络过滤驱动程序NDISProxy将以前未知的特洛伊木马注入lsass.exe系统进程内存。

CE安全网报告说,该驱动程序是使用属于中国公司LeagSoft的数字证书签署的,专家们立即通知了该公司。

“自2018年3月以来,我们发现了一些感染,其中一个以前未知的特洛伊木马被注入到lsass.exe系统进程内存中。这些植入物由数字签名的32位和64位网络过滤驱动程序NDISProxy注入。“读取CE安全网发布的分析。

“有趣的是,这个驱动程序是使用属于中国公司LeagSoft的数字证书签署的,LeagSoft是一家位于广东深圳的信息安全软件开发商。我们通过CN-CERT向公司通报了这个问题。“

在中亚高层会议召开之前,CE安全网分析了针对中亚政府实体的网络间谍活动。袭击者对地区政治议程表现出特别的兴趣。

恶意软件由以下三个模块组成:

中国LuckyMouse APT在最近的攻击中使用了数字签名的网络过滤驱动程序

自定义C ++安装程序解密并删除相应系统目录中的驱动程序文件,然后创建Windows自动运行服务以获取驱动程序持久性,并将加密的内存中特洛伊木马添加到系统注册表。
网络过滤驱动程序(NDISProxy),用于解密并将特洛伊木马注入内存并过滤端口3389(远程桌面协议,RDP)流量,以便将特洛伊木马的C2通信插入其中。
最终的有效负载是用C ++编写的,它是一个充当HTTPS服务器的木马,与驱动程序一起工作。它被动地等待来自其C2的通信,通过端口3389和443具有两个可能的通信信道。
这些模块允许威胁的横向移动,但如果新的受感染主机仅具有LAN IP,则不允许它们与外部命令和控制基础结构通信。运营商利用蚯蚓SOCKS隧道器将受感染主机的LAN连接到外部C2。这些模块还使用Scanline网络扫描程序查找文件共享(端口135,服务器消息块,SMB),用于传播带有管理密码的恶意软件,并受到键盘记录程序的攻击。

恶意软件通过已经受到攻击的网络分发,而不是利用鱼叉式网络钓鱼消息。

dropper可以安装32位和64位驱动程序,具体取决于目标,并跟踪所有安装过程。

网络过滤驱动程序NDISProxy注入一个可以执行常见任务到受感染系统的RAT,包括运行命令和下载/上传文件。

攻击者使用特洛伊木马从受感染的主机收集数据,进行横向移动以及通过SOCKS隧道建立与C&C的连接。

“此次活动似乎再次证明了LuckyMouse对中亚的兴趣以及围绕上海合作组织的政治议程。“CE安全网总结道。

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网