西斯特

香港的抗議活動已經持續了一段時間，而中國政府似乎正在失去耐心，而訴諸於一些創新技術。最近，有人發現北京曾僱用威脅演員針對香港的抗議者。目標抗議者將收到一封電子郵件，該郵件被西方的一名法學院學生掩蓋為消息。攻擊者在信中假裝對抗議活動感興趣，並要求接收者“建議結束香港抗議活動”。攻擊者會將三個文件附加到欺詐性電子郵件中，其中兩個是真實文件，另一個是顯示為'。 RTF”文件，但為“。 LNK'文件。通過使用雙擴展名（一個相當老但有效的技巧）將此損壞的文件屏蔽為無害文檔。

使用屏蔽為圖像的“ .PNG”文件

的'。 LNK文件是一個鏈接，在本次北京大戰中，文件是'。 LNK'文件指向真實的'msiexec.exe'文件。的'。附加到偽造電子郵件的LNK文件必須執行“ msiexec.exe”文件，並從GitHub下載文件。有問題的文件似乎是'。 PNG圖片，但可作為可執行文件運行。該可執行文件用於生成數百個偽文件。其中之一是位於“ siHost64”中的初始有效負載。

能力

％APPDATA％文件夾將包含一個名為“ siHost64”的Python腳本。該腳本旨在：

• 通過篡改Windows註冊表獲得持久性。
• 與攻擊者的C＆C（命令和控制）服務器建立連接，該服務器借助DropBox API進行操作。
• 使用C＆C服務器抓取包含加密命令的文件。解密命令後，威脅將執行它們。這些操作的結果存儲在新的加密文件中。威脅將定期將文件洩漏到C＆C服務器。

本質上，Sihost威脅是一種間諜工具。該後門特洛伊木馬程序將允許其操作員從受感染的主機收集信息，並將其傳輸到攻擊者的服務器。

很明顯，Sihost惡意軟件並非旨在針對隨機用戶。這種威脅的感染率非常低，其受害者似乎在中國地區，這使專家們認為，“ Sihost Trojan”是專門針對洪崗抗議者而開發的。威脅非常發達，很顯然，經驗豐富的網絡犯罪分子造就了Sihost後門特洛伊木馬。