Earth Preta网络间谍组织采用新技术绕过安全解决方案

据观察，与中国有关的Earth Preta网络间谍组织采用新技术绕过安全解决方案。

趋势科技研究人员报告说，Earth Preta组织（又名Mustang Panda）正在积极改变其工具、策略和程序 (TTP)以绕过安全解决方案。

Earth Preta，也被称为“RedDelta”或“青铜总统”，至少从2012年开始活跃，它针对美国和欧洲实体，例如政府组织、智库、非政府组织，甚至梵蒂冈的天主教组织。过去的活动主要针对亚洲国家，包括台湾、香港、蒙古、西藏和缅甸。

在最近的活动中，威胁行为者使用欧盟关于乌克兰冲突的报告和乌克兰政府的报告作为诱饵。打开报告后，感染过程开始导致在受害者系统上部署恶意软件。

在趋势科技最近分析的一次活动中，威胁行为者使用鱼叉式网络钓鱼电子邮件和Google Drive链接作为攻击媒介。

对该活动的深入调查揭示了该组织使用的几个未公开的恶意软件和有趣的数据泄露工具。

研究人员将感染链分为六个阶段：到达向量、发现、特权升级、横向移动、命令与控制(C&C)和渗透。

攻击者在攻击的第一部分使用了DLL旁加载、快捷链接和虚假文件扩展名，研究人员注意到，从2022年10月和11月开始，该组织开始更改他们的TTP以部署TONEINS、TONESHELL和PUBLOAD恶意软件。

TONEINS和TONESHELL恶意软件是从鱼叉式网络钓鱼邮件正文中嵌入的Google云端硬盘链接下载的。为了绕过电子邮件扫描服务，攻击者开始将Google云端硬盘链接嵌入到诱饵文档中。该链接指向一个受密码保护的存档，该文档还包含密码。

“根据我们的观察，Earth Preta倾向于将恶意负载隐藏在虚假文件中，将它们伪装成合法文件——这种技术已被证明可有效避免被发现。至于特权升级，威胁行为者倾向于重用从开源存储库复制的代码。”“与此同时，他们开发了定制工具集，旨在收集渗漏阶段的机密文件。”

一旦在目标网络中站稳脚跟，攻击者就会开始发现和特权升级阶段。在权限提升阶段，威胁参与者使用了多种工具在Windows 10中绕过 UAC，例如ABPASS和CCPASS。

在横向移动阶段，Earth Preta使用HIUPAN和ACNSHELL等恶意软件将自己安装到可移动磁盘并创建反向shell。

该组织在C2阶段使用了多种工具和命令，例如certutil.exe下载合法的WinRAR二进制文件和PowerShell从远程服务器(103[.]159[.]132[.]181) 下载多个恶意存档。

该组织还使用了CLEXEC后门、COOLCLIENT和TROCLIENT植入程序以及PlugX恶意软件。

该报告详细说明了上述每种恶意软件的执行流程。

威胁行为者还使用高度定制的工具进行渗透，例如NUPAKAGE和ZPAKAGE，它们都用于窃取Office文档。

“Earth Preta是一个有能力且有组织的威胁行为者，它不断磨练其TTP，加强其开发能力，并构建一个多功能的工具和恶意软件库，”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5439.html