APT组织蔓灵花近期使用Powershell和curl替代msiexe

2023年 10月 9日 62.7k 0

分析总结

APT-17,也被称为“Bitter APT”或“DeputyDog”,是一个国家支持的网络间谍组织,据信在中国境外开展活动。它们至少自 2012 年起就一直活跃,主要针对航空航天、国防和技术行业的组织。他们以中国、巴基斯坦和沙特阿拉伯为目标而闻名,并已将目光扩大到孟加拉国政府机构。该组织以使用各种定制恶意软件和工具来执行其操作而闻名,包括远程访问木马 (RAT)、键盘记录程序和后门。众所周知,该组织的恶意软件非常复杂、多阶段,并使用一系列技术来逃避检测,例如代码签名、使用合法工具和第三方工具以及使用加密通信。众所周知,他们还利用鱼叉式网络钓鱼活动来获得对目标系统的初始访问权限。他们已经活跃了十多年,并使用各种定制恶意软件和工具来执行其操作。这些部门的组织应了解威胁行为者,并采取适当措施防范他们的攻击。这包括实施强大的安全措施,例如高级威胁检测和响应能力,以及如何识别和响应鱼叉式网络钓鱼活动的员工培训。在最新的一项活动中,观察到该组织使用 Powershell 和curl 而不是msiexe。这些部门的组织应了解威胁行为者,并采取适当措施防范他们的攻击。这包括实施强大的安全措施,例如高级威胁检测和响应能力,以及如何识别和响应鱼叉式网络钓鱼活动的员工培训。在最新的一项活动中,观察到该组织使用 Powershell 和curl 而不是msiexe。这些部门的组织应了解威胁行为者,并采取适当措施防范他们的攻击。这包括实施强大的安全措施,例如高级威胁检测和响应能力,以及如何识别和响应鱼叉式网络钓鱼活动的员工培训。在最新的一项活动中,观察到该组织使用 Powershell 和curl 而不是msiexe。

影响

信息盗窃和间谍活动

妥协指标

MD5

75fad1cd1b3bc3920d15641651f8d300
7cd68f3749e2dc8cc6dcb19e30b36728
38c4869b6b5a61d37ff3faf19e506259

SHA-256

e61e41d73682c166e7cf8c8a1db169f0f689fa2b70e19cfb0033e4c9211d9de6
f2978074b512e49b877fb9fb9e75d19de9de15426c974edfca359a4a3fad4eb7
8f3e982e47d6198794234687d399af0ef3c3329d820c4ef1eabae90a18a7600a

SHA-1

c3292495537d89e140bdae5f3858088a41a5812b
3916d17a26cab47a3e8820bc586884c73e33f47a
f49b700e6d55da83b2fcc725ad974f5f6ef174cc

补救措施

1、在您各自的控制中阻止所有威胁指示器。

2、利用各自的安全控制在您的环境中搜索危害指标 (IOC)

3、除了网络和系统强化之外,还应在组织内部实施代码强化,以确保其网站和软件的安全。使用测试工具来检测已部署代码中的任何漏洞。

4、及时对平台和软件进行补丁和升级,并将其纳入标准安全策略。优先修补已知被利用的漏洞和零日漏洞。

5、启用防病毒和反恶意软件软件并及时更新签名定义。使用多层保护对于保护易受攻击的资产是必要的

6、通过更新防病毒软件和实施补丁管理生命周期来维护网络卫生。

7、启用双因素身份验证。

8、不要从未知来源下载电子邮件中附加的文档文件,并严格避免在来源不可靠时启用宏。

转载来源:https://www.rewterz.com/rewterz-news/rewterz-threat-alert-bitter-apt-group-active-iocs-38/

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论