一个与名为Tropic Trooper的黑客组织有联系的威胁集群使用以前未记录的以Nim语言编码的恶意软件来攻击目标,这是新发现的活动的一部分。
以色列网络安全公司Check Point在一份报告中表示,这款名为Nimbda的新型加载程序“与中文灰色软件‘短信轰炸机(SMS Bomber)’工具捆绑在一起,该工具很可能在中文网络中非法传播。”
研究人员说:“制作Nim加载程序的人特别注意给它提供与它掉落和执行的短信轰炸机(SMS Bomber)相同的可执行图标。因此,整个捆绑程序作为一个木马化的二进制文件工作。”
顾名思义,短信轰炸机(SMS Bomber)允许用户输入电话号码(不是他们自己的),从而使受害者的设备充满信息,并可能使其在拒绝服务(DDoS)攻击中无法使用。
该二进制文件兼作SMS Bomber和后门的事实表明,这些攻击不仅针对该工具的用户——“相当非正统的目标”——而且在本质上也具有高度针对性。
Tropic Trooper,也被称为Earth Centaur、KeyBoy和Pirate Panda,据称在台湾、香港和菲律宾拥有打击目标的记录,主要关注政府、医疗保健、交通和高科技行业。
去年,趋势科技称这家讲中文的集体“非常成熟和装备精良”,该组织有能力发展他们的TTP,以保持不被人注意,并依靠广泛的定制工具来破坏其目标。
Check Point记录的最新攻击链从被篡改的SMS Bomber工具开始,Nimbda加载器启动了一个嵌入式可执行文件,在这种情况下是合法的SMS Bomber有效载荷,同时还在notepad.exe进程中注入一个单独的shellcode。
这启动了一个三层的感染过程,需要从一个模糊的IP地址下载一个下一阶段的二进制文件,该文件在一个攻击者控制的GitHub或Gitee仓库中托管,并指定了一个标记文件(“EULA.md”)。
检索到的二进制文件是名为Yahoyah的木马的升级版本,旨在收集有关受害机器附近本地无线网络的信息以及其他系统元数据,并将详细信息泄露回命令和控制(C2)服务器。
就Yahoyah而言,它还充当获取最终阶段恶意软件的渠道,该恶意软件以图像的形式从C2服务器下载。隐写编码的有效负载是称为TClient的后门,该组织在以前的活动中已经部署过。
研究人员总结说:“观察到的活动集群描绘了一幅有明确目标的、有决心的行为者的画面。”
“通常,当精心挑选第三方良性(或看似良性的)工具插入感染链时,它们会被选为最不显眼的;为此目的选择‘SMS Bomber’工具是令人不安,并在一个人敢于推断动机和预期受害者的那一刻讲述了一个完整的故事。”