Lancefly: 新兴的持久性威胁与 Merdoor 恶意软件

关键要点

• Lancefly 是一个新兴的高级持续性威胁（APT）组织，在过去五年中一直针对南亚和东南亚的政府、通信和航空实体。
• 其主要工具是名为 Merdoor 的恶意软件，具有后门功能，能够进行持续控制、命令执行和键盘记录。
• Lancefly 使用钓鱼邮件、已知漏洞的利用及 SSH 凭证暴力破解等多种技术来投递 Merdoor。
• 除了 Merdoor，Lancefly 还使用更新版的 ZXShell 根套件，具备有效载荷部署和 shell 代码读取及执行的功能。
• 该工具与其他中国 APT 组织（如 APT41 和 APT17）所使用的工具相似。

最近， 报道，Lancefly这个新兴的高级持续性威胁（APT）组织，已经在过去五年内对南亚和东南亚的政府、通信及航空领域实施了针对性的攻击。他们使用了一种名为 Merdoor的高度定制化恶意软件，据信其动机是进行情报收集。Merdoor 不仅构建了持久性，还使得命令执行和键盘记录活动成为可能，Symantec ThreatLabs 的报告指出。

为方便 Merdoor 的投递，Lancefly 采用了多种技术，包括钓鱼邮件、利用已知漏洞、以及 SSH 凭证的暴力破解等。此外，攻击者随后利用 Impacket 的 Atexec 功能来在网络中传播该恶意软件。除了 Merdoor，Lancefly 还运用了一种更新版的 ZXShell根套件，该套件的加载程序可用于有效载荷的部署和 shell 代码的读取及执行。这种工具同样被其他中国 APT 组织（如 和 APT17）所使用。

此外，Lancefly 的情报收集活动可能不仅限于技术手段，还可能涉及到对目标实体的深入了解及长期监视，显示出其攻击的高度计划性和精确性。网络安全防护措施的升级则成为面对此类威胁的重要策略。