js1996官网

20240102091203_3478数字经济的安全基石

猎影追踪:APT-LY-1009使用VenomRAT以及Telegram Bot针对亚美尼亚当局的攻击活动分析

首页 > 关于js1996官网 > js1996官网动态 > 2024 > 正文

猎影追踪:APT-LY-1009使用VenomRAT以及Telegram Bot针对亚美尼亚当局的攻击活动分析

阅读量:文章起源:js1996官网信息
20240218140437_9258

近日,js1996官网信息猎影尝试室在在日常威胁狩猎过程中发现一例上传自亚美尼亚的恶意LNK文件,文件运行后将加载远程HTA文件,执行多段剧本指令,下载恶意文件加载器,并开释钓饵文件,最终在内存中加载开源远控木马Venom RAT。

20240218140438_1463

针对亚美尼亚共和国当局的APT组织

在2023年9月,猎影尝试室初次捕获亚美尼亚首都耶烈万上传的蕴含有恶意宏代码的文档,宏代码运行后将下载用于执行剧本指令的恶意文件,最后在内存中加载Venom RAT。

鉴于23年9月与今年1月捕获的两条攻击链的指标类似性、攻击兵器一致性,以及网络基础设施存在的关联性,我们以为该组织能够作为未知威胁组织进行跟踪及披露,并将此事务背后的威胁组织象征为APT-LY-1009(暗爪鹰、Darkclaw Eagle)并进行跟踪。

除开源恶意软件Venom RAT的使用表,我们还在APT-LY-1009的网络资产上发现了其用于窃取指标主机信息,进行上传下载的Telegram Bot。

凭据样本中蕴含的PDB蹊径,我们将该信息窃取器定名为Mohlat Stealer。该组织开发并使用了C#、Rust两个版本的Mohlat,部门还使用UPX进行了加壳。

跟踪发现,APT-LY-1009(暗爪鹰、Darkclaw Eagle)的几次攻击活动均针对亚美尼亚共和国当局工作人员。

20240218140438_2246

攻击链复盘

我们捕获的两条较为齐全攻击链如下:

2023年9月攻击活动:

垂钓邮件附件DOC文件,带有恶意宏代码,运行后要求远程服务器,下载用于执行Powershell的EXE文件,Powershell指令执行后,进一步下载Loader,最终在内存解密加载Venom RAT。

2024年1月攻击活动:

LNK文件运行后执行远程VBScript代码,其中蕴含一段Base64编码后的Powershell指令,执行加载下一阶段Powershell指令,随后下载Loader,最终在内存中解密运行Venom RAT。

除上述攻击链表,我们还通过其网络基础设施关联到其他由亚美尼亚提交的垂钓URL链接。其中有文件与上述攻击链中的钓饵文件同名,有文件运行后以亚美尼亚当局职位空缺布告为钓饵,最后下发的恶意组件蕴含C#与Rust两个版本,均链接至Telegram Bot,指标为窃取用户主机文件。

20240218140438_3981

下载方式

扫码or复造网址


《APT-LY-1009使用VenomRAT以及Telegram Bot针对亚美尼亚当局的攻击活动分析》汇报为js1996官网钻研院猎影尝试室独家颁布,如对此钻研感兴致或欲相识汇报更多具体,请前往下载。

方式一:扫描下方二维码即可下载

中国·js1996(集团)有限公司-官方网站

方式二:“js1996官网钻研院”页面底部【资料下载】处获取

或可复造链接打开:/product/cloud250.html


方式三:联系js1996官网信息本地商务人员获取


20240218140438_6655

关于《猎影追踪》系列汇报

20240218140438_7456

《猎影追踪》系列汇报旨在提供有价值的网络安全信息和洞察,蕴含对网络安全领域最新的威胁趋向、缝隙发现、攻击手法以及防御战术等内容。该汇报还基于猎影尝试室的钻研成就和实战经验,针对分歧的安全问题提出可依循、可执行的建议,援试祗业提升自身的安全防护能力,更好地应对不休变动的网络安全挑战。


关关

20240102184719_8730

当前客服在线,欢迎您征询

线上征询
commrr_dot02commrr_dot02on 联系js1996官网

征询电话:400-6059-110

commrr_dot04 commrr_dot04on 产品试用

即刻预约免费试用,我们将在24幼时内联系您

微信征询
20240102184733_7796
commrr_top
【网站地图】