日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
著急旅游?攻擊者已經(jīng)盯上你

在疫情之前,熱愛旅行的你可能在波光粼粼的沙灘邊、可能在異域風(fēng)情的叢林中、可能在白雪皚皚的山峰上。但自從疫情來(lái)襲,旅行似乎已經(jīng)成為了一種奢望。當(dāng)下,各國(guó)政府正在逐漸放松管控限制,包括取消旅行限制。正是大家對(duì)旅行的熱切期盼空前高漲,攻擊者也借助這種議題來(lái)傳播惡意軟件。本文介紹幾例最新發(fā)現(xiàn)的此類攻擊。

AsyncRAT - 1

安全研究人員最近發(fā)現(xiàn)了一個(gè)名為 itinerary.zip的惡意文件,該文件部署在 dc5b-163-123-142-137.ngrok.io上。

壓縮文件中包含一個(gè)名為 Itinerary.pdf_____________________________________________.exe的文件,該文件是一個(gè)偽裝成 PDF 文件的可執(zhí)行文件。將可執(zhí)行文件擴(kuò)展名隱藏在超長(zhǎng)的文件名后,是攻擊者持續(xù)多年的技巧。研究人員猜測(cè),攻擊者是通過(guò)旅行相關(guān)的電子郵件或者網(wǎng)站引誘受害者下載惡意文件的。

運(yùn)行惡意文件后,就會(huì)安裝 .NET 編寫的遠(yuǎn)控木馬 AsyncRAT,其 C&C 服務(wù)器為 znets.ddns.net和 dnets.ddns.net。為阻礙分析,惡意樣本使用了多個(gè) .NET 混淆工具,例如 Xenocode、Babel、Yano、DotNetPatcher、CryptoObfuscator、Dotfuscator、SmartAssembly、Goliath、NineRays 和 198 Protector V2。

該惡意域名下,還部署了 travel_details.iso、activity_and_dates.iso 和 Itinerary.exe 文件。這些惡意樣本也都是連接到相同 C&C 服務(wù)器的 AsyncRAT 變種。

AsyncRAT - 2

自從 Windows 8 開始,系統(tǒng)原生支持 ISO 文件,這也為攻擊者提供了另一個(gè)攻擊渠道。

另外,MOTW 強(qiáng)制要求下載文件必須在安全位置運(yùn)行。帶有 MOTW 標(biāo)記的文件,需要經(jīng)過(guò)額外的安全檢查,如調(diào)用 Microsoft Defender 的 SmartScreen 或者其他殺軟引擎掃描。而 ISO 文件格式可以避免被 MOTW 標(biāo)記,也就能躲開掃描(T1553.005)。

一旦掛載 ISO 文件,就可以執(zhí)行其中的 EXE 文件觸發(fā) AsyncRAT。

掛載文件

例如另一個(gè) AsyncRAT 樣本 Booking details.exe于 2022 年 2 月上旬被發(fā)現(xiàn)。所有這些樣本都以旅行為主題,這意味著攻擊者主要針對(duì)旅行者發(fā)起攻擊。

Netwire RAT

Flight_Travel_Intinery_Details.js被部署在 Discord CDN 上,根據(jù)文件名來(lái)看,該 JavaScript 文件可能是通過(guò)電子郵件中的惡意鏈接或者與旅行主題相關(guān)的附件文檔分發(fā)的。

JavaScript 文件最終會(huì)釋放 Netwire RAT 的變種,C&C 服務(wù)器為 kingshakes1.linkpc.net。該 C&C 服務(wù)器最遲在 2021 年 5 月以來(lái)就已經(jīng)被 Netwire RAT 所使用。

Quasar RAT

研究人員發(fā)現(xiàn)一個(gè)針對(duì)哥倫比亞軍事組織的魚叉郵件攻擊,郵件主題為 Solicitud de Reserva para Mayo 2022(意為“2022 年 5 月的預(yù)訂請(qǐng)求”)。

電子郵件

電子郵件中表示想要預(yù)定五間客房,入住一周。在附件中提供了預(yù)定詳情。本次攻擊中 ISO 文件中使用的是 Quasar RAT 遠(yuǎn)控木馬,該木馬支持:

  • 鍵盤記錄
  • 從 Web 瀏覽器/FTP 客戶端竊取密碼
  • 上傳/下載文件
  • 執(zhí)行文件
  • 收集系統(tǒng)信息
  • 遠(yuǎn)程桌面
  • 編輯注冊(cè)表

掛載文件

Quasar RAT 遠(yuǎn)控木馬的 C&C 服務(wù)器為 opensea-user-reward.serveusers.com,根據(jù)遙測(cè)沒有發(fā)現(xiàn)任何與該域名的連接,這可能表明攻擊并未成功。

與該木馬共用 C&C 服務(wù)器的另一個(gè) Quasar RAT 木馬,是在發(fā)現(xiàn)針對(duì)哥倫比亞軍隊(duì)攻擊的第二天在中國(guó)香港發(fā)現(xiàn)的。

結(jié)論

本文中介紹的攻擊都并不復(fù)雜,但是攻擊者利用人們?cè)谝咔楦綦x后熱切期盼旅行的心情進(jìn)行攻擊。


名稱欄目:著急旅游?攻擊者已經(jīng)盯上你
轉(zhuǎn)載注明:http://www.dlmjj.cn/article/dheshsd.html