网络安全研究人员发现了针对政府、航空、教育和电信公司的新威胁行为体。
一个报告赛门铁克公司概述了一个被称为 "Lancefly "的组织被发现使用定制的恶意软件以上述组织为目标。 Lancefly使用的是一种名为Merdoor的定制信息窃取程序,据研究人员称,该程序至少从2018年开始流传。 研究人员在2020年和2021年的某些活动中发现了该恶意软件,但在这次特定活动中,该恶意软件自2022年中期开始使用,一直持续到2023年。
赛门铁克的专家称,攻击者并没有在Merdoor上撒大网,而是对目标相当挑剔。 "他们说:"只有少数机器受到感染。
mac稳定的vnp
Merdoor具有多种功能,包括将自身安装为服务、键盘记录、与C2服务器的不同通信方式(HTTP、HTTPS、DNS等),以及在本地端口监听命令的能力。
虽然从以前的活动中获得的证据表明,Lancefly使用经典的网络钓鱼技术来分发后门到端点研究人员说,在这一特定活动中,感染载体并不明确。 在一个实例中,攻击者似乎使用了SSH暴力破解。 在另一个例子中,负载平衡器可能被利用来进行访问。
"研究人员总结道:"虽然这些感染载体的证据并不明确,但似乎表明兰飞在使用何种感染载体方面具有很强的适应性。
该组织的身份仍然是个谜,尽管研究人员确实认为他们可能是中国人。 在其活动中,Lancefly使用ZXSHell rootkit,其证书签名为 "Wemade Entertainment Co. Ltd. "证书签名。 该证书与中国威胁行为者Blackfly(又名APT41)有关。 然而,该组织以与其他威胁行为者共享证书而闻名。
无论该组织来自何方,有一点是肯定的--其活动目标是间谍和情报收集。
- 这些是最佳防火墙就是现在
