UTG-Q-017：“短平快”体系下的高级窃密组织

文章预览

概述 “短平快”在金融投资领域通常指短期、低风险、回报快，那么如果将其套用在网络攻击领域：无文件 shellcode 在系统进程存在的时间短、漏洞触发平稳且被发现概率低、偷的文件能快速传输到攻击者手中，奇安信威胁情报中心红雨滴团队发现了完美符合上述指标的境外高级窃密组织，并将其命名为 UTG-Q-017，影响大量政企。 UTG-Q-017 最早活跃于 2024 年 8 月份，借助全球访问量巨大的广告 js 间歇性的投递带有 Chrome Nday 的链接，拥有以下技战术： 1、 全程无文件落地： 借助 Chrome Nday 的攻击链向系统内存注入第一阶段的下载者 shellcode，最终会在系统内存中加载 lumma stealer 窃密木马，偷完文件就撤退。 2、 一次性 C2： UTG-Q-017 每次活跃都使用全新 C2 和域名，但是 shellcode 下载者的特征是该组织独有的，在其活跃不到一年的时间内我们捕获的下载者 sh ………………………………