详细内容或原文请订阅后点击阅览
Cobalt Strike 包装精美:恶意 Excel 电子表格已入侵乌克兰
特约 Fortinet 提供多种安全解决方案。
来源:安全实验室新闻频道Fortinet 研究人员发现了一系列复杂性不断增加的复杂攻击。
Fortinet 的研究人员检测到针对乌克兰设备的新的复杂恶意操作。攻击者的主要目标是实施 Cobalt Strike 并夺取受感染主机的控制权。
飞塔 固定 钴打击根据安全研究员 Kara Lin 的说法,攻击始于包含嵌入式 VBA 脚本的恶意 Microsoft Excel 文件。该脚本启动多阶段感染,从而与攻击者的 C2 服务器建立连接。
VBA C2Cobalt Strike 由 Fortra 创建,最初设计用于模拟攻击以进行安全测试。然而,它的黑客版本被攻击者积极用于犯罪目的。
在所考虑的恶意操作中,攻击的初始阶段涉及以乌克兰语显示的 Excel 文档。自 2022 年 7 月以来,微软一直在默认情况下阻止 Office 中的宏,这增加了攻击者的复杂性。然而,随着时间的推移,黑客已经变得善于利用社交工程,通过文档内容本身鼓励受害者启用宏观支持。
启用宏后,它会通过 regsvr32 实用程序在后台启动 DLL 加载程序。该加载程序监视 Avast Antivirus 和 Process Hacker 的活动进程。当它找到它们时,它就会退出。
DLL如果没有此类进程,下载程序会连接到远程服务器以下载下一阶段的恶意软件,但前提是设备位于乌克兰。
生成的文件是一个 DLL,它运行另一个充当注入器的 DLL。该注入器对于提取和运行最终的恶意软件非常重要。攻击的最后阶段涉及部署 Cobalt Strike Beacon,它与黑客的 C2 服务器建立连接。