一场名为 “Sindoor Dropper” 的新型恶意软件攻击活动,正通过复杂的鱼叉式钓鱼技术和多阶段感染链针对 Linux 系统发起攻击。
该攻击活动以近期印巴冲突为主题设计诱饵(此主题被称为 “Operation Sindoor”,即 “Sindoor 行动”),诱骗受害者执行恶意文件。
此次攻击的显著特征是依赖 “武器化的.desktop 文件”—— 这种攻击方法此前与高级持续性威胁(APT)组织 APT36 相关联,该组织也被称为 “Transparent Tribe”(透明部落)或 “Mythic Leopard”(神秘豹)。
攻击始于用户打开一个名为 “Note_Warfare_Ops_Sindoor.pdf.desktop” 的恶意.desktop 文件,该文件伪装成标准 PDF 文档。
根据 Nextron 系统分析,该文件执行后会打开一个良性的诱饵 PDF,以维持合法性假象,同时在后台悄悄启动复杂且高度混淆的感染流程。
这一感染流程经过专门设计,可规避静态与动态分析 —— 据披露,初始载荷在被发现时,在 VirusTotal(病毒检测平台)上的检测结果为零。
.desktop 文件会下载多个组件,包括 AES 解密器(文件名为 “mayuw”)和加密下载器(文件名为 “shjdfhd”):
- 解密器 “mayuw” 是一个用 UPX 加壳的 Go 语言二进制文件,攻击者通过剥离其 ELF 魔数(ELF magic bytes)使其故意 “损坏”,目的是绕过谷歌文档等平台的安全扫描;而.desktop 文件会在受害者设备上恢复这些字节,使该二进制文件重新具备可执行性。
随后,多阶段感染流程启动,每个组件会解密并运行下一个组件。流程中包含基础的反虚拟机检测机制,例如验证主板与厂商名称、将特定 MAC 地址前缀加入黑名单、检查设备运行时间等。
所有在投放器(dropper)中的字符串均通过 Base64 编码与 DES-CBC 加密相结合的方式进行混淆,以进一步阻碍安全分析。
最终载荷是经过改造的 MeshAgent—— 这是一款合法的开源远程管理工具。一旦部署成功,MeshAgent 会连接至托管在亚马逊云服务(AWS)EC2 实例上的命令与控制(C2)服务器,服务器地址为:wss://boss-servers.gov.in.indianbosssystems.ddns[.]net:443/agent.ashx。
Nextron 指出,此举使攻击者获得被入侵系统的完全远程访问权限,能够监控用户活动、在网络中横向移动,并窃取敏感数据。
“Sindoor Dropper” 攻击活动凸显了威胁攻击者技术手段的演变 —— 其明确将目标聚焦于 Linux 环境,而以往钓鱼攻击对该环境的关注度相对较低。
攻击者将时效性强、特定地区相关的社会工程学手段,与先进的规避技术相结合,显著提高了成功入侵敏感网络的概率。
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
