详细内容或原文请订阅后点击阅览
3个月内发生300多次网络攻击:蓝宝石狼人瞄准俄罗斯最重要部门
黑客基于开源 SapphireStealer 开发了自己的恶意软件。
来源:安全实验室新闻频道3个月内发生300多次网络攻击:蓝宝石狼人瞄准俄罗斯最重要部门
黑客基于开源 SapphireStealer 开发了自己的恶意软件。
BI.ZONE 公司对黑客组织 Sapphire Werewolf 的活动发出警告,该组织自 2024 年 3 月以来一直在对俄罗斯组织进行网络攻击。在此期间,攻击者发起了300多次旨在窃取教育、IT、军工综合体、航空航天等领域数据的攻击。
BI.ZONE 警告为了渗透企业网络,黑客向受害者发送网络钓鱼电子邮件,其中包含使用 T.LY 缩短服务创建的链接。这些链接导致伪装成伪官方文档的恶意文件。打开后,紫水晶窃取者恶意软件就会安装在受感染的计算机上以窃取数据。
为了提高攻击的可信度,在下载恶意软件的同时会打开分散注意力的合法文件,例如决议、中央选举委员会的传单或俄罗斯联邦总统的法令。 T.LY 缩短服务用于使恶意软件链接显得可信。
攻击者在活动中使用的所有恶意文件都具有类似的功能特征。
受害者打开恶意文件后,会创建 %AppData%\Microsoft\EdgeUpdate 文件夹,然后将 MicrosoftEdgeUpdate.exe 文件从 Resources.MicrosoftEdgeUpdate 资源写入该文件夹。
为了确保在受感染系统中的持久性,使用内置于可执行文件中的FunnyCat.Microsoft.Win32.TaskScheduler.dll 库在调度程序中创建任务。这是一个合法的库,允许您在调度程序中创建任务,而无需直接执行 schtasks。任务中可执行文件的名称、描述和路径被伪装成合法的 MicrosoftEdgeUpdateTaskMachineCore 任务。创建的任务在启动后每 60 分钟运行一次。
公司