病毒木馬無孔不入�,如今連PPT也難逃“魔掌”����。日前,騰訊安全威脅情報(bào)中心檢測到多個企業(yè)受到以PPT文檔為誘餌的釣魚郵件攻擊。經(jīng)分析發(fā)現(xiàn)�����,該攻擊由Gorgon黑產(chǎn)組織發(fā)起��,被投遞的PPT文檔中均包含惡意宏代碼����,用戶一旦打開就會啟動惡意程序下載Azorult竊密木馬,導(dǎo)致賬號密碼丟失�、信息泄漏等嚴(yán)重后果。騰訊安全提醒企業(yè)及個人用戶提高警惕����、注意防護(hù)。
此次事件的初始攻擊以PPT文檔為誘餌���,文件名包括“SHN FOODS ORDER.ppt”��、“PrivateConfidential.ppt”��、“Analysis Reports.ppt”����、“Order001.ppt”、“payment_receipt.ppt”等��,郵件主題以訂單�����、付款收據(jù)����、分析報(bào)告為主�����,如Purchase Order2020�����、payment_receipt.ppt等����。據(jù)騰訊安全相關(guān)專家介紹,此次攻擊的最大特點(diǎn)是惡意代碼保存在托管平臺pastebin上��,主要包括VBS腳本�����、Base64編碼的Powershell腳本以及經(jīng)過混淆的二進(jìn)制數(shù)據(jù)。由于pastebin是第三方網(wǎng)站�,同時(shí)攻擊者在執(zhí)行代碼中加入了一些字符反轉(zhuǎn)和字符連接操作,較容易逃避安全檢測��。
以訂單����、付款收據(jù)、分析報(bào)告為主題的攻擊郵件
在攻擊事件中����,一旦用戶點(diǎn)擊運(yùn)行含有惡意代碼的PPT,宏代碼就會啟動mshta執(zhí)行保存在pastebin上的遠(yuǎn)程腳本代碼����。在后續(xù)階段,攻擊者會通過計(jì)劃任務(wù)下載RAT木馬����,然后將其注入指定進(jìn)程執(zhí)行,RAT會不定期更換�����。從當(dāng)前捕獲到的樣本來看主要為Azorult竊密木馬,用戶被感染后�,攻擊者將能獲取受害機(jī)器上的各類賬號密碼,如電子郵件帳戶��、通信軟件�、Web Cookie、瀏覽器歷史記錄和加密貨幣錢包等��,同時(shí)還能上載和下載文件�、進(jìn)行截屏操作�,危害極大。
騰訊安全通過對攻擊活動詳細(xì)分析發(fā)現(xiàn)����,此次攻擊者注冊的pastebin賬號”lunlayloo”與另一個賬號“hagga”對應(yīng)攻擊事件中使用的TTP高度相似,基本可以斷定兩者屬于同一家族ManyaBotnet�。同時(shí),基于高水平的TTP技術(shù)�,專家認(rèn)為此次攻擊與Gorgon Group黑產(chǎn)組織有關(guān)。此前����,該組織已對包括英國、西班牙���、俄羅斯和美國在內(nèi)的多個政府組織進(jìn)行針對性攻擊�����,影響廣泛�。
Manabotnet攻擊流程
騰訊安全專家指出,Gorgon Group為專業(yè)的黑客組織���,擅長攻擊大型企業(yè)����、行業(yè)及有政府背景的機(jī)構(gòu)組織����,一旦攻陷系統(tǒng)危害極大,因此建議企業(yè)采用安全廠商的專業(yè)解決方案提升系統(tǒng)安全性��,防止黑客組織攻擊����。
騰訊安全針對Gorgon組織的各類攻擊手段構(gòu)建了涵蓋威脅情報(bào)、邊界防護(hù)��、終端保護(hù)在內(nèi)的立體防御體系�����,打造發(fā)現(xiàn)威脅、分析威脅�、處置威脅的安全閉環(huán)。在威脅情報(bào)方面���, T-Sec威脅情報(bào)云查服務(wù)��、T-Sec高級威脅追溯系統(tǒng)已支持Gorgon 組織的相關(guān)信息和情報(bào)��,可智能感知識別安全威脅�,追溯網(wǎng)絡(luò)入侵源頭���。在邊界防護(hù)上,云防火墻已同步支持Gorgon Group相關(guān)聯(lián)的IOCs識別和攔截����,同時(shí)T-Sec高級威脅檢測系統(tǒng)可基于網(wǎng)絡(luò)流量進(jìn)行威脅檢測,及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)�。在終端安全上,T-Sec主機(jī)安全�����、T-Sec終端安全管理系統(tǒng)能實(shí)現(xiàn)對云上終端和企業(yè)終端的防毒殺毒、防入侵�、漏洞管理和基線管理,目前已支持查殺Gorgon Group組織釋放的后門木馬程序����、惡意Office宏代碼,攔截Powershell執(zhí)行惡意腳本等����。對于個人用戶,騰訊電腦管家也已支持對Gorgon Group黑產(chǎn)團(tuán)伙傳播病毒木馬的查殺����,用戶可予以安裝,加強(qiáng)防護(hù)���。
騰訊安全解決方案部署示意圖
文章內(nèi)容僅供閱讀���,不構(gòu)成投資建議,請謹(jǐn)慎對待����。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。
京公網(wǎng)安備 11010502041587號