当前位置: > >研究:无档案攻击、DNS PowerShell攻击疑是同一骇客组织所为

研究:无档案攻击、DNS PowerShell攻击疑是同一骇客组织所为

03-24,IT资讯研究:无档案攻击、DNS PowerShell攻击疑是同一骇客组织所为最新消息报导,口袋科技网(http://www.kotoo.com)IT资讯
图片来源: 

Morphisec

安全业者Morphisec研究人员发现一桩恶意Word网钓攻击,可能和今年以来接连几桩重大攻击一样,出自一个名为Fin7的骇客组织。?

Morphisec在3月8日调查一个利用透过网钓邮件传送包含恶意巨集的Word档案,对特定知名企业进行无档案攻击。?

骇客的网钓邮件附上具有恶意巨集的Word文件档,诱骗使用者开启文件。文件开启后即启动巨集,并利用Windows Management Instrument (WMI)执行PowerShell代理程式,之后开启后门,并与外部C&C伺服器建立通讯。?

安全公司研究骇客C&C伺服器上的脚本物件后,发现它与3月初思科侦测到的Talos部门发现的PowerShell无档案攻击所用的伺服器十分类似。而其他脚本语言及物件则可追溯到2月初卡巴斯基发现到攻陷大型银行、电信及政府机构的Meterpreter无档案攻击恶意程式,以及近日FireEye发现专门窃取处理美国证管会文件的人员的恶意程式。FireEye认为这桩攻击和Fin7组织有关。?

研究人员发现C&C伺服器三天来发出多种不同攻击指令,有的是完全无档案的攻击,有的则是发出密码窃取工具LaZagne、Mimikatz及Cmd等工具的控制程式,以及Python执行档等。研究人员并指出,这起攻击行动手法相当高明,仅锁定少数特定知名企业避免曝光,且透过WMI执行PowerShell指令,因此甚难被防毒软体侦测到。?

Morphisec在调查期间和骇客有过短暂交手。研究人员曾经透过攻击使用的PowerShell协定和骇客通讯,对方发现后即立即封锁了研究人员使用的其中一个IP,随后就完全关闭这台C&C伺服器。所幸关闭C&C伺服器后,也切断了它控制受害者的管道,暂时阻止后续一连串攻击的发生。

声明:

·凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如系原创文章,转载请注明出处。

·您若对该稿件内容有任何疑问或质疑,请即联系,本网将迅速给您回应并做处理。

邮箱:mail@kotoo.com

+1 已赞
已有8人赞过
评论13

发表评论请 登录
  • 最新
  • 最热
评论举报

请选择举报理由

17 13

已收藏
去我的收藏夹 >

已取消收藏
去我的收藏夹 >