• <nav id="07tir"><code id="07tir"><noframes id="07tir"></noframes></code></nav><button id="07tir"></button>
  • <dd id="07tir"></dd>
      <button id="07tir"><object id="07tir"><u id="07tir"></u></object></button>
      <form id="07tir"></form>

        【安全資訊】Mustang Panda組織新一輪PlugX變體瞄準香港

        安恒情報中心 2020-02-24 03:27:30 1760人瀏覽
        Avira研究人員最近發現了新版本的PlugX惡意軟件,被用于監視香港和越南的目標。感染惡意軟件和啟動惡意有效負載的方式與以前的版本類似,但有一些區別。Plugx使用合法應用程序(例如ESET防病毒軟件,Adobe Update等)執行DLL劫持,加載程序是一個很小的DLL文件,有效負載是一個加密的DAT文件。DLL負責解密和執行DAT文件,DLL利用垃圾代碼和簡單的混淆來通過堆棧字符串隱藏API調用和動態加載API。DAT文件內部包含解密密鑰,密鑰的大小可以變化。有效負載對每個API調用都使用包裝函數,以模糊API調用機制,解密后的有效負載僅加載到內存中,磁盤上沒有占用空間,是PlugX的定制版本,具有簡單的混淆功能,可繞過靜態檢測并隱藏字符串 。該變體與其他PlugX變體區別的功能之一是能夠通過USB進行傳播。檢測到可移動USB卷驅動器后,PlugX變體創建一個名為"RECYCLE.BIN"的隱藏文件夾,并復制EXE文件,加載程序DLL和加密的DAT文件。然后,它隱藏根目錄中的所有文件夾,并為每個文件夾創建LNK,以欺騙受害者單擊LNK文件。該變體是研究人員在追蹤Mustang Panda APT活動中發現的。
        失陷指標(IOC)22
        APT APT情報 Mustang Panda 木馬后門 釣魚攻擊
          0條評論
          0
          0
          分享
          安全星圖平臺專注于威脅情報的收集、處理、分析、應用,定期提供高質量的威脅情報。
          国产欧美成人三级视频在线观看