针对亚洲政府的网络间谍活动已长达近两年之久

自 2021 年初以来，一个网络间谍组织以多个亚洲国家的政府和国有组织为目标没有找到vcomp100 dll 。

此前与 ShadowPad 远程访问木马 (RAT) 有关联的一组独特的间谍攻击者采用了一种新的、多样化的工具集，在许多亚洲国家发起了针对一系列针对政府和相关组织的持续活动没有找到vcomp100 dll 。这些攻击至少从 2021 年初就开始了，它们的主要目标似乎是收集情报。该消息来自赛门铁克的威胁猎手团队，该团队昨天早些时候发布了有关威胁的新公告。

攻击者使用范围广泛的合法工具在针对与金融、航空航天和国防相关的政府机构以及国有媒体、IT 和电信公司的攻击中传递恶意软件没有找到vcomp100 dll 。

攻击者使用动态链接库 (DLL) 侧载来传递恶意代码没有找到vcomp100 dll 。该技术看到威胁行为者将恶意 DLL 放置在预期可以找到合法 DLL 的目录中。然后攻击者运行一个合法的应用程序来加载和执行恶意负载。针对缺乏针对 DLL 侧载攻击的缓解措施的旧版本和过时版本的安全解决方案、图形软件和 Web 浏览器。

一旦攻击者加载了恶意 DLL，就会执行恶意代码，进而加载 .dat 文件没有找到vcomp100 dll 。该文件包含任意 shellcode，用于在内存中执行各种有效负载和相关命令。在某些情况下，任意 shellcode 都会被加密。

此外，攻击者还利用这些合法软件包部署额外的工具（凭证转储工具、网络扫描工具，如 NBTScan、TCPing、FastReverseProxy 和 FScan，以及 Ladon 渗透测试框架），用于执行横向移动没有找到vcomp100 dll 。一旦攻击者建立后门访问权限，他们就会使用 Mimikatz 和 ProcDump 来获取凭据并获得对目标网络的更深层次的访问权限。在某些情况下，威胁参与者还通过注册表转储凭据。

专家还观察到攻击者使用 PsExec 运行旧版本的合法软件来加载现成的 RATS没有找到vcomp100 dll 。

网络间谍还使用 Ntdsutil 等一些非本地工具来挂载 Active Directory 服务器的快照，以便访问 Active Directory 数据库和日志文件，并使用 Dnscmd 命令行工具来枚举网络区域信息没有找到vcomp100 dll 。

专家们还分享了针对亚洲教育部门政府所有组织的攻击的详细信息没有找到vcomp100 dll 。入侵从 2022 年 4 月持续到 2022 年 7 月，在此期间，攻击者在访问域控制器之前访问了托管数据库和电子邮件的机器。

攻击者还使用11年前的 Bitdefender Crash Handler（“javac.exe”）版本来运行 Mimikatz 和 Golang 渗透测试框架LadonGo没有找到vcomp100 dll 。

在该地区的间谍活动中，使用合法应用程序来促进 DLL 侧载似乎是一种增长趋势没有找到vcomp100 dll 。虽然是一种众所周知的技术，但鉴于其目前的流行程度，它一定会为攻击者带来一些成功。鼓励组织彻底审核在其网络上运行的软件并监控异常值的存在，例如组织未正式使用的旧的、过时的软件或软件包。

赛门铁克在文档中包含了危害指标，以帮助公司保护其系统免受这些攻击没有找到vcomp100 dll 。它们可在咨询的原始文本中找到。黑客活动并不是近几个月来唯一针对亚洲的活动。6 月，卡巴斯基发现了针对亚洲不同国家未打补丁的 Microsoft Exchange 服务器的攻击活动。

朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商

2022.09.13

谷歌公布最近几个月没有找到vcomp100 dll ，乌克兰遭到网络攻击的详细情况

2022.09.09

洛杉机学区遭到史无前例的网路攻击没有找到vcomp100 dll ，所有计算机系统被迫关闭

2022 .09.08