我们的努力已经 向全球的私人和政府组织发送了大约80份关于APT41攻击(正在进行中和已完成的)针对其基础设施的主动通知,以便组织可以采取必要措施保护自己或在其网络中寻找入侵痕迹。我们收集的有关攻击者使用的策略,技术和程序(TTP)的数据帮助我们归因于该组织的其他攻击。利用这些数据,我们确定了威胁参与者的"工作"时间...
它们的攻击链包含加载器和载荷组件,但 Cobalt Strike 只是列出的几个潜在载荷之一。 多年来,使用鱼叉式网络钓鱼附件获得初始访问权限一直是已知的 APT41 工具、技术和程序 (TTP)。此外,之前讨论的网络基础设施重叠增加了这是一个 APT41 附属活动的可信度。 IoC 请查看研究人员的 GitHub 以获取本报告中引用的 IoC。
二进制分析 Speculoos后门是使用GCC 4.2.1编译的ELF可执行文件,可在FreeBSD系统上运行。该负载无法保持持对目标持久控制,因此攻击者会使用额外的组件或其他攻击手段维持控制。后门执行后将进入循环,该循环调用函数通过443端口与C2域进行通信: alibaba.zzux[.]com (119.28.139[.]120) 如果无法通信,Speculoos会尝试通过...