ZscalerThreatLabz专家发布与巴基斯坦有关的、针对印度政府机构的网络攻击活动报道

admin
admin
admin
0
文章
0
评论
2026-01-30 18:36:10 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Zscaler披露针对印度政府的GopherStrike和SheetAttack攻击,归因于巴基斯坦相关组织。攻击利用钓鱼邮件投递虚假Adobe更新,通过GOGITTER下载器借助GitHub实现隐蔽C2通信及持久化,最终部署CobaltStrike。建议加强钓鱼防护及GitHub异常流量监控。 综合评分: 83 文章分类: 威胁情报,红队,应急响应

cover_image

Zscaler ThreatLabz专家发布与巴基斯坦有关的、针对印度政府机构的网络攻击活动报道

原创

Ravie Lakshmanan Ravie Lakshmanan

暗镜

2026年1月29日 09:01 北京

印度政府实体成为巴基斯坦境内一个使用此前未曾记录过的攻击手段的威胁行为者发起的两次攻击的目标。

Zscaler ThreatLabz将这些攻击活动分别命名为Gopher Strike 和 Sheet Attack ,并在 2025 年 9 月发现了它们。

研究人员 Sudeep Singh 和 Yin Hong Chang 表示:“虽然这些活动与巴基斯坦关联的高级持续威胁 (APT) 组织APT36有一些相似之处,但我们有中等程度的把握认为,本次分析中发现的活动可能源自一个新的子组织或另一个与巴基斯坦有关联的平行组织。 ”

Sheet Attack 的名称来源于它利用 Google Sheets、Firebase 和电子邮件等合法服务进行命令与控制 (C2) 通信。另一方面,Gopher Strike 则被认为利用网络钓鱼邮件作为攻击起点,发送包含模糊图像的 PDF 文档,并在图像上叠加一个看似无害的弹出窗口,指示收件人下载 Adobe Acrobat Reader DC 的更新。

该图像的主要目的是让用户误以为必须安装更新才能访问文档内容。只有当请求来自位于印度的 IP 地址且用户代理字符串与 Windows 匹配时,点击虚假更新对话框中的“下载并安装”按钮才会触发 ISO 镜像文件的下载。

Zscaler 表示:“这些服务器端检查可以防止自动 URL 分析工具获取 ISO 文件,从而确保恶意文件只会传递给预期的目标。”

嵌入在 ISO 镜像中的恶意载荷是一个名为 GOGITTER 的基于 Golang 的下载器,它负责在以下位置创建 Visual Basic 脚本 (VBScript) 文件(如果该文件尚不存在):”C:\Users\Public\Downloads”, “C:\Users\Public\Pictures”, 和 “%APPDATA%. 。该脚本旨在每 30 秒从两个预先配置的 C2 服务器获取 VBScript 命令。

GOGITTER 还通过一个计划任务来设置持久化,该任务配置为每 50 分钟运行一次上述 VBScript 文件。此外,它还会检查这三个文件夹中是否存在名为“adobe_update.zip”的文件。如果该 ZIP 文件不存在,它会从一个私有 GitHub 仓库(“github[.]com/jaishankai/sockv6”)拉取该压缩包。该 GitHub 帐户创建于 2025 年 6 月 7 日。

下载成功后,攻击链会向域名“adobe-acrobat[.]in”发送HTTP GET请求,这很可能是为了向攻击者表明该终端已被感染。随后,GOGITTER会从ZIP文件中提取并执行“edgehost.exe”。一个基于Golang的轻量级后门程序GITSHELLPAD利用攻击者控制的私有GitHub仓库进行C2通信。

具体来说,它每 15 秒通过 GET 请求轮询 C2 服务器,以访问名为“command.txt”的文件的内容。它支持六种不同的命令——

  • 使用 cd ..命令将工作目录更改为父目录。
  • cd,将目录更改为指定路径
  • run 命令用于在后台运行命令而不捕获输出。
  • upload 命令用于将指定路径的本地文件上传到 GitHub 仓库。
  • 下载,将文件下载到指定路径
  • 默认情况下,使用 cmd /c 运行命令并捕获输出

命令执行结果存储在名为“result.txt”的文件中,并通过HTTP PUT请求上传到GitHub帐户。命令成功执行后,“command.txt”文件将从GitHub存储库中删除。

Zscaler表示,他们观察到攻击者在获得受害者计算机访问权限后,还会使用cURL命令下载RAR压缩包。这些压缩包包含用于收集系统信息的工具,并会投放GOSHELL——一个基于Golang的定制加载器,用于在经过多轮解码后投放Cobalt Strike Beacon。这些工具在使用后会从计算机上彻底清除。

这家网络安全公司表示:“GOSHELL 的大小被人为地增加到大约 1 GB,方法是在可移植可执行文件 (PE) 覆盖层中添加垃圾字节,这很可能是为了逃避杀毒软件的检测。GOSHELL 只会在特定的主机名上执行,它会将受害者的主机名与一个硬编码的列表进行比较。”

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 Ravie Lakshmanan Ravie Lakshmanan《Zscaler ThreatLabz专家发布与巴基斯坦有关的、针对印度政府机构的网络攻击活动报道》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0