中国、香港和巴基斯坦的多个行业已成为一个威胁活动群集的目标,该群集被追踪为UNG0002(又名未知组0002),作为更广泛的网络间谍活动的一部分。
“这个威胁实体表现出对使用快捷方式文件(LNK)、VBScript和诸如Cobalt Strike和Metasploit等后利用工具的强烈偏好,同时一致部署以CV为主题的诱饵文档来引诱受害者,”Seqrite Labs研究员Subhajeet Singha在一份本周发布的报告中说道。
该活动包括两个主要行动,一个名为“钴色低语”的行动发生在2024年5月至9月期间,另一个名为“琥珀迷雾”的行动发生在2025年1月至5月期间。
这些活动的目标包括国防、电子工程技术、能源、民用航空、学术界、医疗机构、网络安全、游戏以及软件开发行业。
钴蓝耳语行动(Operation Cobalt Whisper)是由Seqrite Labs在2024年10月下旬首次记录的,详细描述了通过鱼叉式网络钓鱼攻击传播的ZIP档案的使用,这些档案用于传递Cobalt Strike信标,这是一种利用LNK和Visual Basic脚本作为临时有效载荷的后渗透框架。
该公司当时指出,该活动的范围和复杂性以及量身定制的诱饵强烈表明,这是APT组织针对这些行业的敏感研究和知识产权进行的针对性努力。
琥珀雾攻击链已被发现利用鱼叉式网络钓鱼电子邮件作为起点,通过伪装成简历和求职信的LNK文件来释放INET RAT和Blister DLL加载器,从而启动一个多阶段的感染过程。
在2025年1月检测到的交替攻击序列已被发现会重定向电子邮件收件人到伪造的着陆页面,这些页面伪装成巴基斯坦海事事务部(MoMA)网站,提供假验证码验证检查。这些检查采用ClickFix策略来执行PowerShell命令,进而用于执行Shadow RAT。
通过DLL侧加载启动的Shadow RAT能够与远程服务器建立联系以等待进一步命令。INET RAT被评估为Shadow RAT的修改版本,而Blister DLL植入物作为壳代码加载器发挥作用,最终为基于反向壳的植入铺平了道路。
威胁行为者的确切起源尚不清楚,但有证据表明它是一个来自东南亚的以间谍活动为重点的组织。
“UNG0002代表来自南亚的一个复杂且持续威胁的实体,自至少2024年5月以来一直针对多个亚洲司法管辖区进行持续运营,”辛格说。“该组织展现出高度适应性和技术熟练度,在保持一致战术、技术和程序的同时不断进化其工具集。”
稿源:https://thehackernews.com/ 翻译:https://www.youxia.org
