讲中文的用户是“高度组织和复杂的攻击”活动的目标,该活动可能利用网络钓鱼电子邮件通过 Cobalt Strike 有效载荷感染 Windows 系统。
“攻击者设法横向移动,建立了持久性,并在两周多的时间里在系统内未被发现,”Securonix 研究人员 Den Iuzvyk 和 Tim Peck 在一份新报告中说。
代号为 SLOW#TEMPEST 的秘密活动,未归因于任何已知的威胁行为者,从恶意 ZIP 文件开始,解压缩后会激活感染链,从而导致在受感染的系统上部署漏洞利用后工具包。
ZIP 存档附带一个 Windows 快捷方式 (LNK) 文件,它伪装成Microsoft Word 文件“违规远程控制软件人员名单.docx.lnk”,大致翻译为“违反远程控制软件规定的人员名单”。
研究人员指出:“鉴于诱饵文件中使用的语言,特定的中国相关企业或政府部门很可能成为目标,因为它们都会雇用遵守’远程控制软件法规’的个人。
LNK 文件充当启动合法 Microsoft 二进制文件(“LicensingUI.exe”)的管道,该二进制文件使用 DLL 旁加载来执行流氓 DLL(“dui70.dll”)。这两个文件都是名为“\其他信息\.__MACOS__\._MACOS_\__MACOSX\_MACOS_”的目录中的 ZIP 存档的一部分。此次攻击标志着首次报告通过 LicensingUI.exe 进行 DLL 旁加载。
DLL 文件是一种 Cobalt Strike 植入程序,允许对受感染主机进行持续和隐蔽的访问,同时与远程服务器 (“123.207.74[.]22″).
据说远程访问允许攻击者进行一系列动手活动,包括部署额外的有效载荷进行侦察和设置代理连接。
感染链还值得注意的是,它设置了一个计划任务来定期执行一个名为“lld.exe”的恶意可执行文件,该可执行文件可以直接在内存中运行任意 shellcode,从而在磁盘上留下最少的占用空间。
