APT35

ThreatBook 研究和响应小组揭露了 APT35(又称 Magic Hound 或 Charming Kitten)针对美国、泰国和阿联酋等多个国家的航空航天和半导体行业发起的复杂活动。这个由伊朗支持的组织隶属于伊斯兰革命卫队(IRGC),早在 2014 年就曾发动过引人注目的网络攻击。

在其中一次活动中,APT35 推出了一个虚假招聘网站,特别针对泰国航空航天领域的无人机设计专家。该网站发布了高薪招聘信息,为这一骗局增添了合法性。据 ThreatBook 称,攻击者在其 “授权访问 ”产品中混入了合法程序和恶意模块: “网站提供的授权访问程序中混入了一白一黑两种恶意样本,其中SignedConnection.exe是合法的OneDrive程序,secur32.dll、Qt5Core.dll分别是第一阶段和第二阶段的恶意程序。”


悄悄加载恶意程序 | 图片: ThreatBook

用 C# 编写的恶意模块 secur32.dll 利用字符串重构等混淆技术逃避检测,悄无声息地加载了更多阶段的恶意软件。

APT35 的方法包括通过重命名文件和注册表键操作来部署复杂的多级有效载荷,以实现持久性。该组织还利用谷歌云、GitHub 和 OneDrive 等合法平台进行命令与控制 (C&C) 通信。

ThreatBook 报告说:“ThreatBook 通过分析相关样本、IP 和域名,提取了多个相关 IOC,用于威胁情报检测。”

该恶意软件还利用了 GitHub 存储库和预先配置的备份 C&C 域,以确保在主地址被封锁时的连接性。这种适应性表明 APT35 致力于保持业务弹性。

另一个值得注意的策略涉及针对半导体公司的虚假 VPN 程序。VPN 安装程序被伪装成加载名为 msvcp.dll 的恶意 DLL 模块,作为下载器从合法云平台上托管的 C&C 服务器获取其他有效载荷。

ThreatBook指出:“利用VPN访问程序加载恶意DLL模块msvcp.dll,它与Qt5Core.dll是同一类型的下载程序。”

APT35 的行动表明,它有能力利用对 OneDrive 和 GitHub 等知名品牌和工具的信任,渗透到高价值行业。该组织广泛使用社交工程策略,再加上技术上的复杂性,突出表明处理敏感技术的行业需要提高警惕。

文章原文链接:https://www.anquanke.com/post/id/302378