中國APT駭客組織FunnyDream針對東南亞政府機構,已感染超過200多個系統!

在過去的兩年,一個新的中國國家級駭客組織(APT)已經在東南亞感染了200多個系統。

根據資安公司Bitdefender今天發布一份最新的報告,惡意軟體感染是一個名為FunnyDream的組織展開的廣泛網路間諜活動的一部分,攻擊主要針對東南亞國家的政府實體。雖然Bitdefender尚未列出任何受害國家,但據Kaspersky今年春季時發布的一份報告稱,FunnyDream至少自2018年以來一直活躍,並瞄準了馬來西亞,泰國,台灣和菲律賓等亞洲國家的一些政黨,然而大多數受害者都在越南,該組織主要針對政府組織。

Bitdefender和Kaspersky都表示,該組織直到今天仍然活躍,並且主要展開網路間諜活動,主要是以監視受害者的活動並從受感染主機上竊取敏感文件,特別是國家安全和工業間諜活動。

據研究人員稱,不僅有大約200台機器都顯示與攻擊活動有關的攻擊指標,而且有證據表明,威脅行動者可能入侵了受害者網路上的網域控制站,從而使它們可以橫向移動並控制其他系統。

惡意軟體相關示意圖

研究人員也稱,多數攻擊都遵循一種模式,但同時結合了三種惡意軟體的payload -包含Chinoxy,PCShare和FunnyDream(FunnyDream惡意軟體隨後被命名為該組織名稱)。

三種惡意軟體中的每一種都具有精確的作用。Chinoxy被部署為最初使用的惡意軟體,充當切入點存取的簡單後門。

PCShare是一個已知的中文開源遠端木馬,它通過Chinoxy進行了部署,並用於探索受感染的主機。

FunnyDream是在PCShare的幫助下部署的,它是三者中功能最強大且功能最豐富的,具有更高級的持久性和通信功能,並用於數據收集和滲透。

 惡意軟體的時間軸

            

研究人員也還發現了從2019年5月出現使用上述FunnyDream後門的功能,該後門具有收集用戶數據,清除惡意軟體部署痕跡,阻止檢測和執行惡意命令的多種功能,其結果最後被傳輸回位於香港,中國大陸,韓國和越南的C&C伺服器。

有關FunnyDream的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fb55924659ab82b7e2571a3

https://otx.alienvault.com/pulse/5fb446087749d98182f7a340

Source:

https://www.bitdefender.com/files/News/CaseStudies/study/379/Bitdefender-Whitepaper-Chinese-APT.pdf

*****竣盟科技快報歡迎轉載,但請註明出處