APT41 对赌博和游戏行业的高级网络攻击

重点摘要

中国国家赞助的网络威胁组织 APT41 正在对赌博和游戏行业进行多阶段网络攻击。攻击手段包括利用钓鱼邮件渗透目标网络，并实施 DCSync 攻击进行密码哈希信息的窃取。攻击者通过获取的凭证进行后续的攻击，包括 DLL 劫持和恶意软件执行。最近，攻击者重新启动了一个混淆的 JavaScript 代码，用于加载后续的机器指纹识别载荷，目标为特定的设备。

自今年早些时候起，中国境内的国家赞助威胁组织 APT41也称为 Earth Baku、Brass Typhoon、Winnti 和 Wicked Panda对博彩和游戏行业进行了复杂的多阶段网络攻击，相关报道由 The Hacker News 提供。

根据 Security Joes 的报告，APT41 可能利用钓鱼邮件渗透目标网络基础设施，然后实施 DCSync 攻击，从而提取密码哈希。利用获取的凭证，APT41 能够进行后续的攻击和侦查工作，包括虚假 DLL 劫持和通过套接字连接执行进一步的恶意软件。在经过几个星期的 inactivity 之后，攻击者重新启动了一个混淆的 JavaScript 代码，这个代码充当后续机器指纹识别载荷的加载器，目标是 IP 地址中含有 102022 字符串的设备。

蚂蚁加速器

研究者指出：“这突显出攻击者所关注的特定设备，即位于子网 102022[09][0255] 中的设备。通过将这些信息与网络日志和发现文件的设备的 IP 地址进行关联，我们得出结论，攻击者使用了这种过滤机制，确保仅影响 VPN 子网内的设备。”

攻击阶段描述钓鱼邮件渗透利用钓鱼邮件进入目标网络DCSync 攻击进行密码哈希信息的窃取凭证滥用进行后续攻击与侦查工作混淆 JavaScript 代码加载后续的机器指纹识别载荷

APT41 的攻击手法展示了其高超的技术能力以及对目标的深刻理解，对博彩和游戏行业的企业构成了持续威胁。企业需采取有效的安全措施以防范此类攻击。