威胁情报 | APT-K-47 武器披露之 Asyncshell 的前世今生

主要观点总结

知道创宇404高级威胁情报团队发现了APT-K-47组织利用“朝觐”话题发起的攻击活动。攻击者利用CHM文件执行恶意载荷，且最终载荷具有Asyncshell的特性。团队追踪了该组织对Asyncshell的多个版本更新，并详细描述了各版本的特点和发现过程。

关键观点总结

关键观点1: APT-K-47组织利用“朝觐”话题发起攻击

攻击者使用CHM文件执行恶意载荷，最终载荷功能简单，仅支持cmd shell，使用异步编程实现。

关键观点2: Asyncshell的多个版本及特点

知道创宇404高级威胁情报团队追踪了APT-K-47使用的Asyncshell的多个版本，包括首次发现、利用CHM执行、从tcp到https的转变、从文件中解密C2等版本变化。

关键观点3: APT-K-47组织的攻击策略变化

该组织使用伪装的服务请求来控制最终shell服务端地址，从之前版本的固定C2变换为可变C2，显示出组织内部对于Asyncshell的重视。

免责声明