中国政府赞助的APT受到近期勒索软件攻击者的怀疑

 安全研究人员对最近对多家公司进行的恶意软件攻击的分析表明,由中国政府资助的黑客组织APT可能正在执行此操作。

攻击者在2020年发生了至少五家公司。 Profero和Security Joes公司的研究人员说,攻击者通过第三方服务提供商达到了目标,而该服务提供商已通过另一第三方提供商进行了感染。

威胁参与者依赖BitLocker。他们使用Windows中的驱动器加密工具成功加密了几个核心服务。趋势科技报告了与DRBControl链接的恶意软件样本,并将其归因于2010年以来一直活跃的APT27和Winnti。

Profero和Security Joes共同提交了一份报告,这清楚地证明了这两个组在DRBControl活动中使用的是Clambling后门。此外,他们还发现了ASPXSpy Webshel​​l,其修改后的版本已在归因于APT27的攻击中看到。

该报告还写道:“关于谁是这个特定感染链的背后,就代码相似性和TTP(策略,技术和程序)而言,它们与APT27 /特使熊猫有极强的联系。

恶意参与者使用较旧的Google Updater可执行文件在系统内存中部署了PlugX和Clambing恶意软件,这些可执行文件易受DLL端加载。

“对于这两个示例中的每个示例,都有一个合法的可执行文件,一个恶意DLL和一个由shellcode组成的二进制文件,负责从自身中提取有效负载并将其运行在内存中。两个示例均使用签名的Google Updater,并且两个DLL都是标记为goopdate.dll,但是PlugX二进制文件的名称为license.rtf,而Clambling二进制文件的名称为English.rtf。”

此外,利用了2017年的一个漏洞(CVE-2017-0213),该漏洞据认为已被利用来提升系统特权。

来自安全乔斯(Security Joes)的安全分析师说,这些攻击的主要成因是黑客组织参与了一项由财务驱动的活动。

 Profero的研究人员说,这样一个恶意团体表明各国政府应采取统一的方法来应对这些威胁。