台海热点诱饵！旺刺组织结合 0day 和 ClickOnce 技术开展间谍活动

主要观点总结

本文介绍了APT-Q-14（旺刺）组织利用CilckOnce技术进行钓鱼活动的情况。该组织挖掘了某邮件平台网页版的XSS 0day漏洞，通过XSS漏洞触发CilckOnce的js，当受害者打开钓鱼邮件时自动弹出钓鱼框。攻击者使用多种技术流程释放恶意木马文件并执行恶意行为。除此之外，APT-Q-14组织还关注安卓平台邮箱软件的0day漏洞。目前，基于奇安信威胁情报中心的威胁情报数据的全线产品已经支持对此类攻击的精确检测。

关键观点总结

关键观点1: APT-Q-14（旺刺）组织介绍及钓鱼活动情况

APT-Q-14是具有东北亚背景的组织，利用CilckOnce技术针对国内进行钓鱼活动。该组织与其他组织如APT-Q-12（伪猎者）和APT-Q-15等存在重叠，都是DarkHotel组织的子集。

关键观点2: 旺刺组织利用XSS漏洞触发CilckOnce的js

旺刺组织挖掘了某邮件平台网页版的XSS 0day漏洞，利用该漏洞触发CilckOnce的js，实现自动弹出钓鱼框，模仿邮件更新行为。

关键观点3: 攻击流程和技术细节

描述了完整的攻击流程，包括钓鱼邮件的内容、组件下载、恶意木马文件的释放、内存解密、创建计划任务、注入shellcode等步骤。同时介绍了在安卓平台上的邮箱软件0day漏洞的情况。

关键观点4: 检测与防御建议

基于奇安信威胁情报中心的威胁情报数据的全线产品已经支持对此类攻击的精确检测。建议客户启用云查功能来发现未知威胁。

免责声明