恶意软件同时针对多个国家的不同行业发起了攻击
|
去一年中部署了几十个数字签名变种的Bandook Windows木马。 攻击者选择的不同垂直行业包括位于智利、塞浦路斯、德国、印度尼西亚、意大利、新加坡、瑞士、土耳其和美国的政府、金融、能源、食品工业、医疗保健、教育、IT和法律机构。 目标市场和地点的种类异常多,进一步证明了研究人员的假设,即该恶意软件不是内部开发,没有由单个对象使用,而是属于第三方出售给全球政府和攻击者的攻击性基础设施的一部分。 Dark Caracal广泛使用Bandook RAT在全球范围内执行间谍活动是由电子前沿基金会(EFF)和Lookout于2018年初首次发现的,当时受害者覆盖了21个国家。 这个多产的组织至少从2012年开始运作,一直与黎巴嫩安全总局(GDGS)有联系,所以研究者认为该组织是国家至国家一级的持续威胁。 不同的组织同时使用相同的恶意软件基础设施进行看似不相关的活动,这让EFF和Lookout推测,APT的使用者正在使用或管理被视为承载许多广泛的全球网络间谍活动的基础设施。 研究人员为此比较了不同的Bandook变种,并分享了其创建者用来阻碍对攻击流程中所有组件进行分析和检测的各种技术。 攻击链的三个阶段随着攻击链的不断发展,研究人员描述了攻击者从7月到现在所使用的攻击链。 整个攻击链的攻击可以分为三个主要阶段。与许多其他攻击链一样,第一阶段开始于一个ZIP文件中传递的恶意Microsoft Word文档。一旦文档被打开,恶意宏就会使用外部模板功能下载。宏的代码依次下降并执行第二阶段的攻击,这是在原始Word文档中加密的PowerShell脚本。最后,PowerShell脚本下载并执行攻击的最后阶段:Bandook后门。 下面描述的各种工件的名称可能因攻击场景的不同而有所不同。 阶段:诱饵文件第一阶段从嵌入加密的恶意脚本数据的Microsoft Word文档和指向包含恶意VBA宏的文档的外部模板开始。 外部模板是通过缩短网址的Web服务(如TinyURL或Bitly)下载的,该服务重定向到攻击者控制的另一个域。 外部模板文档包含一个自动运行的VBA代码,它从原始lure文档中解密嵌入的数据,并将解码后的数据放入本地用户文件夹中的两个文件中:fmx.ps1(下一阶段PowerShell)和sdmc.jpg (base64编码的PowerShell代码)。
为了允许这种行为,攻击者使用了两种技术的组合:将加密的数据嵌入到原始文档的形状对象中(通过小字体大小和白色前景隐藏),并通过使用来从外部模板代码进行访问以下代 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
