首页 > 安全 > 正文

中国链接的摩珊龙滥用安全软件来局限于恶意软件

最后更新 :2022.05.03

中国链接的APT集团被追踪为Moshen Dragon,正在利用Antivirus产品来针对亚洲的电信行业。

中国链接的APT集团,被追踪为Moshen Dragon,以目标为目标。Sentinelone警告

Plugx和Shadow Pad恶意软件在中国与中国的网络增支群中非常普遍。

专家观察到Moshen Dragon Group的TTP与中国的Nomad Panda(aka  Redfoxtrot)之间的重叠。123]

Redfoxtrot至少从2014年起就一直活跃,并专注于从邻国收集军事情报,怀疑它是在PLA中国与中国联机69010的领导下工作的。

研究人员说,Moshen Dragoned部署了Moshen Dragoned。五个不同的恶意软件三合会使用DLL搜索订单劫持到Sideload Shadowpad和Plugx变体。Cyperpionage组也使用其他工具,包括LSA通知软件包和Gunters无源后门。

Sentinellabs最近发现了针对中亚电信部门的一系列活动,利用了通常与中国APT APT参与者相关的工具和TTP。威胁参与者系统地利用了由安全供应商分发给Sideload Shadowpad和Plugx变体的软件。读取Sentinelone发表的分析。

在Sentinelone最近发现的攻击中,Moshen Dragon利用了Sideload Shadowpad和Puginx变体。攻击者着重于劫持安全供应商的程序,包括Symantec,TrendMicro,Bitdefender,McAfee和Kaspersky。

被劫持的DLL用于解密并加载最终有效负载,存储在存储在文件中的文件中相同的文件夹。

这种组合被公认为是一种侧层三合会,这是一种与'nbsp; Lucky Mouse相关的技术。继续公司。ThE如何部署有效载荷以及目标网络中的其他动作,建议威胁行为者使用侵袭者进行横向运动。执行后,某些有效载荷将通过创建计划的任务或服务来实现持久性。

对Moshen Dragons活动的分析导致发现了几个上传到Virustotal的有效载荷,其中一些是'Plugx Talisman变体'。Moshen Dragon impacket

Sentinelone详细介绍了横向运动,凭证收获和数据剥落。

TTP在不寻常的参与期间观察到,迫使威胁性参与者进行多个试验和错误阶段,以尝试部署其恶意软件。总结一下该报告。一旦攻击者在组织中建立了立足点,他们通过利用Impacket在网络中,将被动后门放入受害者环境中,进行横向移动,从有限的访问权限,并专注于数据剥离。

请投票给安全事务,作为最佳欧洲网络安全博客作者奖2022奖2022投票给您的获奖者在“弱者最佳”部分中为我投票。个人(非商业)安全博客和Tech Whiz最佳技术博客以及您选择的其他人。要提名,请访问: https://docs.google.com/forms/forms/forms/forms/d/e/1faipqlsfxxxr ticelyimz9QM9IIPUMQIMQIMQIMQIMQIMQICMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQIMQICIMQICIMQICIMQICIMQICIMQic-IOM-NPQMOSFZNJXRBQRYJGCOW/viewform

- END -

看更多