详细内容或原文请订阅后点击阅览
CERT-UA警告UAC-0099的网络钓鱼攻击,针对乌克兰国防部门
乌克兰的Cert-UA警告UAC-0099针对防御部门的网络钓鱼攻击,使用Matchboil,Matchwok和Dragstare等恶意软件。乌克兰的CERT-UA警告说,威胁性参与者UAC-0099的网络钓鱼攻击针对政府和国防部门,以诸如Matchboil和Dragstare之类的恶意软件。国家网络事件,网络攻击和网络威胁响应团队CERT-UA调查了对[…]
来源:Security Affairs _恶意软件CERT-UA警告UAC-0099的网络钓鱼攻击,针对乌克兰国防部门
乌克兰的Cert-UA警告UAC-0099针对防御部门的网络钓鱼攻击,使用Matchboil,Matchwok和Dragstare等恶意软件。
乌克兰的Cert-UA警告说,威胁性参与者UAC-0099的网络钓鱼攻击针对政府和国防部门,并提供了诸如Matchboil和Dragstare之类的恶意软件。
UAC-0099国家网络事件,网络攻击和网络威胁响应小组证书CERT-UA调查了针对乌克兰国防部的国防军和国防部队和企业的多次攻击。
攻击链始于网络钓鱼电子邮件,通常标题为“法院传票”,这是通过ukr.net发送的。该消息包含指向带有HTA文件的双重存档的合法文件服务的链接。
打开时,HTA运行了混淆的VBScript,该VBScript删除文件并创建计划的任务以执行PowerShell代码。该代码将十六进制数据解析,将其写入文件,将其重命名为“ AnimalUpdate.exe”,并将其设置为定期运行,从而激活Matchboil加载程序。还发现了攻击者部署其他恶意软件,例如Matchwok Backdoor和Dragstare窃取器。研究人员强调了威胁参与者的不断发展的策略,这些策略证明了演员的毅力和成熟。
“提到的HTA文件还包含其他混淆的VBScript,该文件可确保使用十六进制数据(“ documentTemp.txt”),带有powerShell代码(temormaryDoc.txt”)的文本文件(“ documentTemp.txt”)在计算机上创建的创建。阅读Cert-UA发布的报告。 “计划的任务“ PDFOPENTAKS”旨在读取和执行PowerShell代码,其主要功能是将HEX编码的数据转换为字节,将其写入具有“ .txt”扩展名的文件(“%public flubly%\ downlocts \ ainimaupdate.txt”) “ \ Animaloft \ UpdateAnimalsoftware”将运行后者
报告