详细内容或原文请订阅后点击阅览
乌克兰军方遭无人机手册复杂网络钓鱼攻击
Securonix 正在追踪一项针对乌克兰军方的网络钓鱼活动,该活动使用伪装成无人机使用手册的恶意软件附件。威胁行为者正在使用 Microsoft 帮助文件 (.chm) 来传播恶意软件。
来源:KnowBe4 _恶意软件Securonix 正在追踪一个针对乌克兰军方的网络钓鱼活动,该活动使用伪装成无人机使用手册的恶意软件附件。威胁行为者使用 Microsoft 帮助文件 (.chm) 来传播恶意软件。
网络钓鱼“恶意 .chm 文件被故意用作武器,以在受害者的机器上执行 PowerShell 单行命令,”研究人员写道。“Microsoft 帮助文件过去曾被恶意使用,但如今它们并不常见,因为 Microsoft 在 2007 年停止支持 .chm 文件格式。但是,它们可以在现代 Windows 版本中打开和执行……通过 .chm 文件执行代码是一种众所周知的技术,有几种在线工具可用于构建这种技术。它通过传递特殊的 HTML 参数来工作,这些参数可以调用子进程,例如 cmd.exe 或 powershell.exe,以及命令行参数。”
研究人员继续说道,“有效载荷是一个经过 XOR 和解码的模糊二进制文件,可生成 MerlinAgent 恶意软件的信标有效载荷。一旦有效载荷与其 C2 服务器建立通信,攻击者就可以完全控制受害者主机。虽然攻击链非常简单,但攻击者利用了一些相当复杂的 TTP 和模糊方法来逃避检测。”
Securonix 指出,该活动的社会工程学方面允许文档绕过技术防御。
社会工程学“很明显,鉴于文档的语言及其针对性,这次攻击是针对乌克兰军方的,”研究人员写道。“攻击链中使用的文件和文档非常能够绕过防御,对恶意 .chm 文件的检测得分为 0。通常,通过互联网接收 Microsoft 帮助文件会被视为不寻常的。然而,攻击者将诱饵文件设计成毫无戒心的受害者可能期望出现在帮助主题文档或文件中的内容。”
安全文化 Securonix