Proofpoint的研究人員觀察到中國APT駭客組織TA416通過新的惡意軟體變種恢復了其惡意活動。該惡意活動的目標是在全球的外交使團收集數據和監視通信。
TA416,也稱為“Mustang Panda”和“RedDelta”,是中國國家級駭客組織,在針對性惡意的活動中使用其PlugX惡意軟體載入器。該組織因修改其工具庫以逃避檢測而使安全研究人員難以進行分析而聞名。
Proofpoint觀察到TA416發動了新的網路釣魚活動,該網路攻擊的對象是與梵蒂岡和中國共產黨(CCP)建交實體。TA416駭客組織同時還針對緬甸境內的實體以及在非洲努力進行外交的組織。攻擊者利用社交工程,引用了梵蒂岡與中國共產黨最近續簽的協議。研究人員還發現了欺騙性的電子郵件標頭,這些標頭看起來像是來自天主教亞洲新聞聯盟的記者所報導的。
PlugX惡意軟體
Proofpoint研究人員已經辨認了兩個RAR檔,可以用作為PlugX惡意軟體的droppers。TA416會在其網路釣魚電子郵件中添加Google Drive或Dropbox URL,這些電子郵件用於傳遞包含PlugX惡意軟體和相關的檔案。
據ThreatPost報導,PlugX遠端訪問工具(RAT)允許遠端用戶未經許可或授權竊取數據,甚至控制受影響的系統。PlugX使攻擊者能夠複製,移動,重命名,執行和刪除文件以及鍵盤側錄,對受感染系統進行特徵識別等等。
Proofpoint研究人員發現TA416工具集的更新,用於提供PlugX惡意軟體的payload。更具體地說,他們檢測到TA416的PlugX惡意軟體載入器的Golang變體,並注意到PlugX惡意軟體在針對性的活動中始終使用。研究人員說,這表明該組織持續改變其工具集以持續規避檢測。
關於中國APT駭客組織TA416的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:
https://otx.alienvault.com/pulse/5fbc0c5ec4bfeaa7f7956ff4
Source:
Reference:
https://www.recordedfuture.com/reddelta-targets-catholic-organizations/
*****竣盟科技快報歡迎轉載,但請註明出處