幸运的鼠标黑客在2020年瞄准银行、公司和政府

一个以攻击政府实体而闻名的对手与一系列新发现的针对中亚和中东不同组织的入侵有关。

这起被统称为“使者士兵”的恶意活动被认为是一个名为“幸运鼠”的威胁行为者所为，据说发生在2020年，目的是获取该地区的地缘政治见解。这些攻击涉及部署一个名为（又名士兵）在一些被破坏的组织中，包括政府和外交机构、电信供应商、一家电视媒体公司和一家商业银行。

LuckyMouse，也称为APT27和Emissary Panda，是一个复杂的网络间谍组织，有破坏中亚和中东多个政府网络的历史。这名演员还与2019的跨国组织（如国际民用航空组织（ICAO））的网络攻击有关，最近由于开发中东的政府实体电子邮件服务器的漏洞而引起人们的注意。

使者这只是针对这些目标的一系列监视行动中的最新一次。

ESET恶意软件研究人员Matthieu Faou在今天发布的一份报告中说：“为了让受害者妥协，LuckyMouse通常会使用水坑，破坏其目标可能访问的网站。”LuckyMouse运营商还进行网络扫描，以找到目标受害者运行的易受攻击的面向互联网的服务器。"

此外，ESET还观察到，在运行Microsoft SharePoint的面向互联网的系统上，有数量不详的幸运鼠感染，研究人员怀疑这些感染是通过利用应用程序中的远程代码执行漏洞发生的。

无论使用何种方法获得初始立足点，攻击链最终都会部署定制的泄露后植入、SysUpdate或HyperBro，这两种方法都利用DLL搜索顺序劫持来加载恶意有效负载并阻止检测。Faou指出：“trident模型的特点是一个易受DLL劫持攻击的合法应用程序、一个加载负载的自定义DLL，以及一个原始的Shikata Ga-Nai编码的二进制负载。”。

就SysUpdate而言，它是一个模块化工具，每个组件都用于特定的操作目的。它涉及到滥用良性应用程序作为恶意DLL的加载程序，而恶意DLL反过来加载第一阶段有效负载，最终解码并在受损系统上部署内存植入。自2018年发现该工具包以来，该工具包经过了多次修订，专门用于添加新功能，这表明运营商正在积极努力改进其恶意软件库。

Faou说：“幸运鼠标在2020年变得越来越活跃，似乎正在经历一个重组过程，在这个过程中，各种功能被逐步集成到SysUpdate工具包中。”。“这可能表明，LuckyMouse背后的威胁因素正逐渐从使用HyperBro转向SysUpdate。”