详细内容或原文请订阅后点击阅览
Amnesia RAT 部署在针对俄罗斯用户的多阶段网络钓鱼攻击中
多阶段网络钓鱼活动利用勒索软件和 Amnesia RAT 以虚假商业文件为诱饵,以俄罗斯用户为目标。 FortiGuard 实验室的研究人员发现了一个主要针对俄罗斯用户的多阶段恶意软件活动。该攻击使用虚假商业文档作为社会工程诱饵来分散受害者的注意力,同时恶意软件在后台运行。它升级为完整的 [...]
来源:Security Affairs _恶意软件Amnesia RAT 部署在针对俄罗斯用户的多阶段网络钓鱼攻击中
多阶段网络钓鱼活动利用勒索软件和 Amnesia RAT 以虚假商业文件为诱饵,以俄罗斯用户为目标。
FortiGuard 实验室研究人员发现了一个主要针对俄罗斯用户的多阶段恶意软件活动。该攻击使用虚假商业文档作为社会工程诱饵来分散受害者的注意力,同时恶意软件在后台运行。它升级为整个系统受到损害,部署 Amnesia RAT 和勒索软件,通过 Defendnot 工具禁用 Microsoft Defender,并滥用 GitHub 和 Dropbox 来托管有效负载并逃避检测。
“威胁行为者通过在多个公共云服务之间分离有效负载托管来进一步提高弹性。GitHub 主要用于分发脚本,而 Dropbox 托管二进制有效负载。”阅读 FortiGuard 实验室发布的报告。 “这种模块化托管方法允许攻击者独立更新或轮换组件,使删除工作变得复杂,并有助于恶意流量融入合法的企业网络活动。”
当受害者打开看起来像正常商业材料的压缩档案时,攻击链就开始了。该档案包含带有俄语名称的虚假会计文件,与日常工作任务相匹配。在里面,一个快捷方式文件伪装成会计师的文本文档。当用户单击它时,该文件会启动 PowerShell 并从 GitHub 下载脚本。威胁行为者不使用漏洞;它们完全依赖于用户交互,这使得它在企业环境中有效。
PowerShell 脚本名为 kira.ps1,充当加载程序。它隐藏 PowerShell 窗口以避免怀疑,并在系统上创建虚假的会计凭证。该脚本打开此文档以使用户在恶意软件在后台运行时保持忙碌。它还通过 Telegram 向攻击者发送消息以确认感染。经过短暂的延迟后,它会下载并以隐藏模式运行混淆的 VBScript。