在一场旨在监视维吾尔人的运动中,联合国的商标被滥用。
周四,Check Point Research(CPR)和卡巴斯基的伟大团队说https://research.checkpoint.com/2021/uyghurs-a-turkic-ethnic-minority-in-china-targeted-via-fake-foundations/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>活动,很可能是一个说汉语的威胁演员的作品,重点是维吾尔族,一个在中国新疆发现的突厥少数民族。
潜在的受害者会收到带有联合国人权理事会(UNHRC)标志的网络钓鱼文件。该文件名为UgyhurApplicationList.docx,包含有关侵犯人权讨论的诱饵材料。
但是,如果受害者在打开文件时启用编辑,VBA宏代码将检查PC的体系结构并下载32或64负载。
称为“OfficeUpdate.exe”,该文件是获取和加载远程负载的外壳代码,但在分析时,IP不可用。然而,与恶意电子邮件附件有关的域名将调查范围进一步扩大到一个恶意网站,该网站以假人权组织为幌子用于恶意软件传递。
“突厥文化和遗产基金会”(TCAHF)域名声称为“图克里克文化和人权,但这本书是从合法的民权组织opensocietyfoundations.org上偷来的。
该网站面向寻求资助的维吾尔族人,试图在提交申请资助所需的信息之前,诱使访问者下载“安全扫描程序”。然而,这个软件实际上是一个后门。
该网站提供了macOS和Windows版本,但只有后者的链接下载了恶意软件。
发现两个版本的后门;WebAssistant于2020年5月提供,TcahfUpdate于10月开始加载。后门在受害者系统上建立持久性,进行网络间谍和数据窃取,并可用于执行额外的有效载荷。
受害者分布在中国和巴基斯坦的维吾尔族聚居区
CPR和kasparksy说,虽然该组织似乎没有与其他已知的威胁组织共享任何基础设施,但他们很可能讲中文,而且仍然活跃,今年新注册的域名与过去的攻击连接到同一个IP地址。
“这两个域名都重定向到马来西亚政府机构“丁加奴伊斯兰基金会”的网站上,”研究人员说这表明袭击者正在马来西亚和土耳其等国追捕更多目标,尽管他们可能仍在开发这些资源,因为我们还没有看到任何与这些域相关的恶意工件。”
