中国黑客攻击越南军队和政府

一个与一名讲汉语的威胁行为人有关的黑客组织与一场针对越南政府和军事组织的先进网络间谍活动有关。

The attacks have been attributed with low confidence to the advanced persistent threat (APT) called Cycldek (or Goblin Panda, Hellsing, APT 27, and Conimes), which is known for using spear-phishing techniques to compromise diplomatic targets in Southeast Asia, India, and the U.S. at least since 2013.

根据卡巴斯基的研究人员，在2020年6月至2021年1月之间的攻势，利用了一种称为DLL侧加载的方法来执行外壳代码，解密了称为“FuffCype”的最终有效载荷。

DLL侧加载是一种经过尝试和测试的技术，被各种威胁参与者用作绕过防病毒防御的模糊策略。通过将恶意DLL加载到合法的可执行文件中，可以在受信任的系统或软件进程下屏蔽其恶意活动。

在卡巴斯基透露的这条感染链中，Microsoft Outlook的一个合法组件加载了一个名为“outlib.dll”的恶意库，该库“劫持程序的预期执行流，以解码并运行二进制文件rdmin.src中的外壳代码”

此外，该恶意软件还带有一个额外的层，专门设计用于保护代码不受安全分析的影响，并使其难以进行反向工程。为了实现这一点，据说恶意软件背后的威胁参与者清除了有效载荷的大部分头部，而剩下的部分则是不一致的值。

卡巴斯基说，这种方法“标志着该地区攻击者在复杂程度上取得了重大进步”

除了让攻击者完全控制受损设备外，FoundCore还具有运行文件系统操作、进程操作、截屏和任意命令执行命令的功能。发现FoundCore感染者还下载了另外两个恶意软件。第一个是DropPhone，它从受害者机器收集与环境相关的信息，并将其过滤到DropBox，而第二个是CoreLoader，它运行的代码使恶意软件能够阻止安全产品的检测。

这家网络安全公司从理论上推断，这些攻击源自鱼叉式网络钓鱼活动或其他先兆感染，从而触发从流氓网站下载诱饵RTF文档，最终导致FoundCore的部署。

在数十个受影响的组织中，80%的组织总部设在越南，属于政府或军事部门，或者与卫生、外交、教育或政治垂直领域有关，还有其他受害者，偶尔在中亚和泰国也会出现。

研究人员总结道：“无论是哪个团体策划了这场运动，它在成熟度方面都是一个重大进步。”。“在这里，他们增加了更多层次的混淆和显著复杂的逆向工程。”

卡巴斯基高级安全研究员马克·莱希蒂克说：“这表明这些组织可能正在寻求扩大其活动。目前，这场运动似乎更像是一种局部威胁，但未来很可能会在不同地区的更多国家发现FoundCore后门。”。