中国黑客用新后门攻击军事组织

一项最新研究显示，近两年来，涉嫌与中国有联系的不良行为者一直在策划一场针对东南亚军事组织的广泛网络间谍活动。

将袭击归咎于一名被称为“恐怖分子”的威胁行为人APT升级“网络安全公司BITDeDeFrand列出了该集团所采用的不断变化的战术、技术和程序，包括将新的后门命名为“星云”和“RunyDay'”到他们的数据窃取任务中。据说恶意活动是在2019年6月和2021年3月之间进行的。

研究人员说：“在行动开始时，威胁参与者使用Aria Body loader和Nebulae作为攻击的第一阶段。”。“从2020年9月开始，威胁参与者将RainyDay后门包括在他们的工具包中。这次行动的目的是网络间谍和数据盗窃。”

Naikon（又名Override Panda、Lotus Panda或Hellsing）曾以亚太地区的政府实体为目标，寻找地缘政治情报。虽然最初被认为是在2015年首次曝光后就消失了，去年5月，当发现对手使用一个名为“Aria Body”的新后门偷偷闯入网络，并利用受损的基础设施作为指挥与控制（C2）服务器，对其他组织发起额外攻击时，出现了相反的证据。

Bitdefender发现的新一波攻击将RainyDay作为主要后门，参与者使用RainyDay进行侦察、交付额外的有效载荷、在网络上执行横向移动，以及过滤敏感信息。后门是通过一种被称为DLL侧加载的技术来执行的，这种技术指的是一种经过尝试和测试的加载恶意DLL的方法，目的是劫持Outlook Item Finder等合法程序的执行流。

作为备份策略，该恶意软件还安装了第二个名为Nebulae的植入物，用于收集系统信息、执行文件操作，以及从C2服务器下载和上传任意文件。“第二个后门[…]被认为是一种预防措施，以防止在发现任何感染迹象时失去持久性，”研究人员说。

RainyDay backdoor部署的其他工具包括一个文件收集器，它可以收集最近更改的文件，并将其具有特定扩展名，然后上传到Dropbox、凭证收割机，以及各种网络实用程序，如NetBIOS扫描仪和代理。

此外，Bitdefender表示RainyDay可能与卡巴斯基本月早些时候披露的恶意软件相同，理由是其功能和使用DLL侧加载来实现执行的相似性。这个名为“FoundCore”的后门被认为是一位名叫Cyckdek的华语演员的，他是针对越南政府和军事组织的网络间谍活动的一部分。