APT10又曝出两款新的加载器和已知payload的新变种

2019年5月28日 作者：Pierluigi Paganini  

APT10组织在其军械库中增加了两个新的恶意软件装载机，用于攻击东南亚的政府和私人组织。

2019年4月，来自中国的网络间谍组织跟踪APT10已经在其军械库中增加了两个新的恶意软件装载机，并将其用于对抗东南亚的政府和私人组织。

该组织至少从2009年就一直保持活跃，2017年4月，来自英国的PwC和BAE Systems的专家发现了一场范围甚大的黑客行动，被追踪为Operation Cloud Hopper，其针对全球多个国家的托管服务提供商（MSPs）。

2018年7月，FireEye观察到该组织利用武器化的Word文档通过鱼叉式网络钓鱼电子邮件进行的一系列新攻击，这些文件试图传递UPPERCUT后门，也被标记为ANEL。

2018年9月，FireEye的研究人员发现并阻止了由中国APT10网络间谍组织发起的针对日本媒体行业的行动。

而最近的攻击是由enSilo的专家发现的，他们也注意到APT组织使用了已知恶意软件的升级版本。

enSilo发表的分析指出：“截至2019年4月底，我们发现了一项确定是由中国的网络间谍组织 APT10发起的新攻击活动。”“我们分析其使用的程序和各种payload，发现都和APT10以前的相关策略、技术、过程（TTPs）以及代码类似。”

两个加载器向受害者发送不同的payload，两个变种都会释放以下文件：

• jjs.exe – 合法的可执行文件，充当恶意软件的加载器.
• jli.dll – 恶意DLL
• msvcrt100.dll – 合法的DLL
• svchost.bin – 二进制文件
  

两种变体都会使用几种知名的paylosd，包括PlugX和Quasar 远程访问木马（RAT）

加载程序都会进行DLL加载，这意味着它首先都运行一个合法的可执行文件，然后借此加载恶意DLL。

两个加载器都使用jli.dll库将数据文件svchost.bin映射到内存并对其进行解密以便于注入svchost.exe，加载恶意shellcode。

这两个加载器在确保持久性的方式上有所不同，第一个使用服务作为其保持持久性的方法，而第二个则使用“Windows Update”下当前用户的Run注册表项来保障其持久性。

“要从受感染的计算机上彻底清除McAfee的电子邮件代理服务的任何标记，还有很长的路要走，” Hunter表示，“除了终止进程外，它还确保删除注册表中的任何相关键，并递归删除计算机上的任何相关文件和目录。在某些变种中，被分离出文件运行的VBScript的也被观察到具有相同的行为。”

专家们注意到，攻击者在上次活动中使用的payload仍处于开发阶段。

专家总结道：“加载器的两种变体都执行相同的解密和注入流程”。

inSile发布的分析中还报告了其他技术细节，其中包括IoC。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/86213/apt/apt10-new-loaders.html