中国黑客在紧张局势下升级对印度和香港的攻击

来自中国的一个新的威胁演员被追踪到一个新的黑客攻击活动，目标是在印度的政府机构和香港居民企图窃取敏感信息，网络安全公司MalBube在与黑客新闻分享的最新报告中透露。

在七月的第一周，香港和印度的安全法的实施，以及中国在印度和中国边境发生暴力冲突后数周内，禁止59个国产应用程序超过隐私问题。

MARBLUBEL将攻击的“适度自信”归因于一个新的中国APT组织，他们能够根据“印度和香港”的“独特的网络钓鱼尝试”来追踪他们的活动。

APT集团的运营商利用了至少三种不同的策略、技术和程序（TTP），使用spear网络钓鱼电子邮件删除Cobalt Strike和MgBot恶意软件的变体，并使用伪造的Android应用程序收集通话记录、联系人和短信。

“在这场战役中使用的诱饵表明，威胁演员可能是针对印度政府和香港的个人，或者至少是那些反对中国颁布的新安全法的人，”该公司说。

使用矛式网络钓鱼安装MgBot恶意软件

7月2日观察到的第一种变体提醒了“gov.in”域的收件人，称他们的一些电子邮件地址已被泄露，他们将在7月5日前完成安全检查。

这些邮件附有“Mail security check.docx”，据称来自印度政府信息安全中心。打开后，它使用模板注入来下载远程模板，并执行一个严重混淆的Cobalt Strike变体。


但在上述攻击发生一天后，运营商将恶意Cobalt Strike有效载荷替换为更新版的MgBot恶意软件。

在7月5日的《野生动物》第三版中，研究者们观察到APT使用了一份完全不同的嵌入式文件，其中有一份来自英国总理Boris Johnson的声明，据称香港承诺向该国承认三百万名香港人。

下载和删除加载程序的恶意命令—；在文档中进行编码—；使用动态数据交换（DDE）协议执行，这是一种进程间通信系统，允许在Windows应用程序之间通信或共享数据。

有多种能力的老鼠

Drop loader（“ff.exe”）伪装成Realtek Audio Manager工具，包含四个嵌入式资源，其中两个是用简体中文编写的。

这一点，再加上DDE和模板注入的使用，表明这场战役可能是一家总部位于中国的威胁行动方的杰作，因为之前有过利用相同TTP的攻击历史。

随后，加载程序在安装最终有效负载之前通过CMSTP旁路升级其权限，同时还采取措施避免被调试器和安全软件检测到。

为了阻止静态分析，“代码是自我修改的，这意味着它在运行时改变了代码部分，”研究人员说。

“它使用'GetTickCount'和'QueryPerformanceCounter'API调用来检测调试器环境。要检测它是否在虚拟环境中运行，它使用'sldt'和'cpid'等反虚拟机检测指令，这些指令可以提供有关处理器的信息，还可以检查Vmware IO端口（VMXH）。”

最终，是这个最终的恶意软件可执行文件（“pMsrvd.dll”）被用来进行恶意活动，它伪装成一个“视频团队桌面应用程序”


捆绑式远程管理木马（RAT）不仅能够建立与位于香港的远程命令和控制（C2）服务器的连接，它还具有捕获击键、截图和管理文件和进程的能力。

此外，研究人员还发现了几个恶意Android应用程序，它们是该组织工具集的一部分，该工具集配备了RAT功能，例如音频和屏幕录制，以及对手机位置进行三角定位、过滤联系人、通话记录、短信和网络历史的功能。

有趣的是，这家新成立的中国APT集团似乎至少自2014年以来一直很活跃，其TTP与2014年、2018年和2020年3月的至少三起不同的攻击有关。在他们所有的竞选活动中，这位演员都使用了MgBot的变体来实现其目标。