黑客正在日本的工业目标上植入多个后门

网络安全研究人员周二披露了一项复杂活动的细节，该活动部署恶意后门，目的是过滤日本多个行业的信息。

被卡巴斯基研究人员称为“A41APT”的这一发现深入研究了APT10（又名大熊猫或蝉）使用以前未记录的恶意软件进行的一系列新的攻击，这些恶意软件可以提供多达三个有效负载，如SodaMaster、P8RAT和FYAnti。

这项长期开展的情报收集行动首次出现在2019年3月，直到2020年11月才有活动被发现，当时有报道称，与日本有关的公司在全球17多个地区成为威胁行动方的目标。

卡巴斯基发现的新袭击据说发生在2021年1月。感染链利用多阶段攻击过程，通过利用未修补漏洞或被盗凭证滥用SSL-VPN进行初始入侵。

该活动的中心是一个名为Ecipekac的恶意软件（反过来是“蛋糕块”，但有一个拼写错误），它通过使用四个文件“逐个加载和解密四个无文件加载模块，最终加载内存中的最终有效负载”，遍历四层“复杂加载模式”

虽然P8RAT和SodaMaster的主要目的是下载和执行从攻击者控制的服务器检索到的有效负载，但卡巴斯基的调查尚未发现任何关于目标Windows系统上交付的确切恶意软件的线索。

有趣的是，第三个有效负载FYAnti本身就是一个多层加载程序模块，它通过另外两个连续的层来部署称为QuasarRAT（或xRAT）的最后阶段远程访问特洛伊木马。

卡巴斯基研究人员石丸说：“这场运动的操作和植入物……非常隐蔽，因此很难追踪威胁者的活动。”。“主要的隐形功能是无文件植入、模糊处理、反虚拟机和删除活动轨迹。”