APT 组织 Bronze Starlight 瞄准了东南亚赌博业。
专家警告称,与中国有关的Bronze Starlight正在发起针对东南亚赌博业的活动。
SentinelOne 观察到与中国有关的 APT 组织 Bronze Starlight (又名APT10、Emperor Dragonfly 或 Storm-0401)瞄准了东南亚的赌博业。
该活动中使用的恶意软件和基础设施与安全公司 ESET 认为是与中国有关的威胁行为者在“ChattyGoblin 行动”中观察到的恶意软件和基础设施有关 。
SentinelOne 报告称,威胁行为者使用 DLL 劫持 Adobe Creative Cloud、Microsoft Edge 和 McAfee VirusScan 可执行文件来部署 Cobalt Strike 信标。
Bronze Starlight 是一个民族国家组织,据观察,该组织使用勒索软件来分散注意力或误导他人。
攻击者使用修改后的聊天应用程序安装程序来下载 .NET 恶意软件加载程序。然后,加载程序从阿里巴巴存储桶中检索存储在受密码保护的 ZIP 存档中的第二阶段有效负载。
“agentupdate_plugins.exe 和 AdventureQuest.exe 下载的 zip 存档包含侧面加载功能。我们能够检索到的每个档案都包含一个容易受到 DLL 搜索顺序劫持的合法可执行文件、一个在启动时被可执行文件旁加载的恶意 DLL,以及一个名为 agent.data 的加密数据文件。”
“[HUI] 加载程序通过易受 DLL 劫持的合法可执行文件进行旁加载来执行,并暂存存储在加密文件中的有效负载。”
研究人员注意到,agentupdate_plugins.exe 和 AdventureQuest.exe 基于 ifconfig.co 基于 IP 的地理定位服务实现地理围栏。威胁行为者试图避免将位于美国、德国、法国、俄罗斯、印度、加拿大或英国的机器作为目标。这种情况表明网络间谍对收集这些国家的情报不感兴趣,但由于实施错误,地理围栏无法正常工作。
研究人员观察到,加载程序“AdventureQuest.exe”是使用颁发给新加坡 VPN 提供商 Ivacy VPN 的证书进行签名的。攻击者很可能窃取了 PMG PTE LTD 的私钥。在对该问题进行公开讨论后, Digitcert于 6 月份撤销了代码签名证书。
该报告总结道:“与中国有联系的威胁行为者过去一直在共享恶意软件、基础设施和操作策略,并将继续这样做,”该报告还包括妥协指标(IoC),“说明了攻击的复杂性。 ”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/7785.html
