it

SloppyLemming 针对巴基斯坦和孟加拉国政府使用双重恶意软件链

发布: (2026年3月3日 GMT+8 14:53)
5 分钟阅读
原文: The Hacker News

Source: The Hacker News

Ravie Lakshmanan
2026年3月03日恶意软件 / 网络钓鱼

Malware attack illustration

概述

威胁活动集群 SloppyLemming 对巴基斯坦和孟加拉国的政府机构及关键基础设施运营商发动了新一波攻击。Arctic Wolf 的调查显示,该活动从 2025 年 1 月 持续到 2026 年 1 月,并使用了两条不同的攻击链,分别投放 BurrowShell 后门和基于 Rust 的键盘记录器。

“Rust 编程语言的使用标志着 SloppyLemming 工具链的显著演进,因为此前的报告中记录该组织仅使用传统的编译语言,并借用了诸如 Cobalt Strike、Havoc 以及自定义的 NekroWire RAT 等对手模拟框架,”该网络安全公司在与 The Hacker News 共享的报告中如此表示【https://arcticwolf.com/resources/blog/sloppylemming-deploys-burrowshell-and-rust-based-rat-to-target-pakistan-and-bangladesh/】。

Threat‑actor screenshot

威胁行为者概况

  • 名称: SloppyLemming(亦称 Outrider Tigerhttps://www.crowdstrike.com/en-us/adversaries/outrider-tiger/】Fishing Elephant
  • 目标: 巴基斯坦、斯里兰卡、孟加拉国和中国的政府、执法、能源、电信和技术行业(活动记录自至少2022年起)。
  • 以前的恶意软件: Ares RATWarHawk,分别与 SideCopySideWinder 关联。
  • 能力等级: 中等(由 Arctic Wolf 评估)。

攻击链

1. PDF 诱饵链

  • 投递方式: 通过带有恶意 PDF 附件的鱼叉式钓鱼邮件。

  • 执行方式: PDF 中包含可启动 ClickOnce 应用程序清单的 URL,进而安装:

    • 一个合法的 Microsoft .NET 运行时可执行文件(NGenTask.exe
    • 一个恶意加载器(mscorsvc.dll

  • 技术手段: DLL 侧加载 加载恶意 DLL,该 DLL 解密并运行名为 BurrowShell 的自定义 x64 shellcode 植入程序。

PDF 诱饵示例

“BurrowShell 是一个功能完整的后门,为威胁行为者提供文件系统操作、截图捕获、远程 Shell 执行以及用于网络隧道的 SOCKS 代理功能,”Arctic Wolf 说。 “该植入程序将其指挥与控制(C2)流量伪装成 Windows Update 服务通信,并使用带有 32 字符密钥的 RC4 加密来保护有效载荷。”

2. Excel 宏 诱饵链

  • 投递方式: 通过带有宏的 Excel 文档的鱼叉式钓鱼邮件。
  • 有效载荷: 恶意宏会投放一个 基于 Rust 的键盘记录器,并执行 端口扫描网络枚举

基础设施

Cloudflare Workers 报告

归因与作战手法重叠

“尤其是针对巴基斯坦核监管机构、国防后勤组织和电信基础设施——以及孟加拉国的能源公用事业和金融机构的攻击——与情报收集重点相符,反映了南亚地区的战略竞争。” Arctic Wolf 表示。

“部署双重负载——用于 C2 和 SOCKS 代理操作的内存壳码 BurrowShell,以及用于信息窃取的基于 Rust 的键盘记录器——表明威胁行为者能够根据目标价值和作业需求灵活选择合适的工具。”

来源:Arctic Wolf 报告(与 The Hacker News 共享)

觉得这篇文章有趣吗?
关注我们的 Google NewsTwitterLinkedIn 获取更多独家内容。

0 浏览
#malware #SloppyLemming #cyber‑espionage #Pakistan #Bangladesh #government cyber‑attacks #critical infrastructure #Arctic Wolf #threat intelligence
查看原文
Share:
Back to Blog

相关文章

阅读更多 »