自2016年7月,俄罗斯和白俄罗斯军事和航空航天领域的机构受到了
NetTraveler (aka TravNet) 和 PlugX RAT等恶意代码的威胁。
该黑客组织还使用了ZeroT的下载器,微软的.chm文件传递PlugX。
攻击者向受害者发送.chm 文件,包含HTM 文件和可执行文件。帮助文件被打开时,显示俄罗斯语言文本,同时Windows 中的用户帐户控制 (UAC) 功能询问受害者是否允许执行”未知的程序”。如果用户单击”是”,ZeroT 则被部署到系统上。
类似于以前的攻击,APT 组织还用到由MNKit 创建的特征Word 文档。这个Office exploit generator(MNKit ),使得研究人员把攻击者与来自中国的其它几个黑客组织关联起来了。
曾被卡巴曝光的NetTraveler APT攻击
威胁小组用 RAR 传递 ZeroT。其中包含了”Go.exe”,利用Windows事件查看器工具绕过 UAC的可执行文件。
一旦被感染,ZeroT将与C&C链接,并上传感染的系统信息,然后下载多样化的PlugX RAT, non-encoded PE载荷,或使用隐写术来隐藏恶意软件的位图 (.bmp) 。
文章出处:malwarebenchmark
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容