威胁情报 | ADS 之殇，Confucius 组织利用 ADS 隐藏载荷攻击宗教相关人士

主要观点总结

知道创宇404高级威胁情报团队发现了疑似Confucius组织针对某国宗教人士的攻击活动。攻击者利用NTFS文件系统ADS进行载荷隐藏，使用windows系统文件fixmapi.exe侧载恶意载荷，并使用C#木马WooperStealer进行文件窃取。整个攻击活动与Confucius组织近两年的攻击相似，提醒用户加强防范。

关键观点总结

关键观点1: 事件背景

知道创宇404高级威胁情报团队在日常跟踪APT过程中发现了疑似Confucius组织的攻击活动。

关键观点2: 攻击特点

攻击者利用NTFS文件系统ADS进行载荷隐藏，利用windows系统文件fixmapi.exe侧载恶意载荷，使用C#木马WooperStealer进行文件窃取。

关键观点3: 组织概述

Confucius组织主要针对南亚及东亚地区政府、军事等重要单位进行攻击，近年来不断发现针对国内单位的攻击活动。

关键观点4: 攻击分析

攻击者通过宗教相关的诱饵诱使相关人员点击并加载窃密木马，杀伤链与Confucius组织的攻击相似。攻击者使用备用下载服务器保证攻击成功率，利用NTFS文件系统的特性隐藏恶意载荷。

关键观点5: 归因及总结

根据分析，基本确定本次攻击活动出自Confucius组织。此类攻击活动具有隐蔽性，能够绕过一些基本的安全检测，提醒用户谨慎对待未知邮件，特别是带有诱惑力的文档。