“间谍装载机”恶意软件在香港发现了目标组织

被称为”温蒂”的以中国为中心的间谍活动，将目光投向了香港政府组织，成为”杜鹃行动”运动的一部分。

自至少2007年以来，Winnti ( aka APT41、Barium、Bronze Atlas和Wicked Panda)一直活跃，它被指定为一个多产的网络威胁集团，该集团开展中国国家赞助的间谍活动，主要目的是窃取发达经济体组织的知识产权。

威胁行为者的运动以医疗、电信、高科技、媒体、农业和教育部门为目标，感染链主要依靠带有附件的电子邮件来初步闯入受害者的网络。

今年5月早些时候，Cybereason披露了该集团自2019年以来策划的长期袭击，以从主要位于东亚、西欧和北美的技术和制造公司窃取技术机密。

据以色列网络安全公司透露，被称为”布谷鸟行动”的入侵行为估计导致了”数百千兆字节的信息”。

据博通软件旗下赛门铁克Threat Hunter团队称，最新的活动是专利数据盗窃活动的延续，但重点是香港。

该公司在与《黑客新闻》分享的一份报告中表示，攻击者在一些被破坏的网络中仍然活跃了一年，并增加了入侵，为部署一个名为Spyder的恶意软件装载机铺平了道路，该装载机于2021年3月首次出现。

 ” [ Spyder ]被用于对信息存储系统进行有针对性的攻击，收集有关损坏设备的信息，执行有害的有效载荷，协调脚本执行和C & C服务器通信，” SonicWall Capture Labs威胁研究小组当时指出。

与Spyder一起部署的还有其他后开发工具，如Mimikatz和一个特洛伊木马化的zlib DLL模块，它能够从远程服务器接收命令或加载任意负载。

赛门铁克表示，它没有观察到任何最终阶段的恶意软件的交付，尽管该运动的动机被怀疑与基于与先前攻击的战术重叠的情报收集有关。

赛门铁克说：”这项活动已经持续了几年，在那段时间里部署了不同版本的Spyder Loader恶意软件，这表明这一活动背后的行为者是持久性和专注的对手，有能力在很长一段时间内对受害者网络进行隐形操作。”

温蒂的目标是斯里兰卡政府实体

作为Winnti技术成熟的另一个迹象，Malwarebytes在8月初发现了一组针对斯里兰卡政府实体的单独攻击，其中一个新的后门被称为DBoxAgent，它利用Dropbox进行命令和控制。

 “据我们所知，Winnti ( a中国支持的APT)首次以斯里兰卡为目标，”恶意软件威胁情报小组说。

杀戮链也是值得注意的，它利用了谷歌驱动器上的一个ISO图像，它声称是一个包含经济援助信息的文件，表明威胁行为者试图利用国家正在发生的经济危机。

启动包含在ISO映像中的LNK文件会导致DBoxAgent植入的执行，使敌手能够远程征用机器并将敏感数据导出回云存储服务。此后，Dropbox禁用了流氓帐户。

该后门进一步充当了一个管道，可以丢弃攻击工具，从而为其他攻击和数据泄露打开大门，包括激活多级感染序列，最终导致使用一个名为KEYPLUG的高级C + +后门，谷歌美国麦迪安网路安全公司在2022年3月记录了该后门。

最新的发展标志着APT41首次尝试将Dropbox用于C & C用途，表明攻击者越来越多地使用正当的软件即服务和云服务来承载恶意内容。

网络安全公司说，”温蒂仍然活跃，其武库不断增长，成为当今最先进的群体之一。斯里兰卡在南亚的位置对中国来说是战略性的，因为它可以进入印度洋，并且靠近印度。“