2017-03-24 23:46  IT资讯
图片来源: 

Morphisec

安全业者Morphisec研究人员发现一桩恶意Word网钓攻击,可能和今年以来接连几桩重大攻击一样,出自一个名为Fin7的骇客组织。?

Morphisec在3月8日调查一个利用透过网钓邮件传送包含恶意巨集的Word档案,对特定知名企业进行无档案攻击。?

骇客的网钓邮件附上具有恶意巨集的Word文件档,诱骗使用者开启文件。文件开启后即启动巨集,并利用Windows Management Instrument (WMI)执行PowerShell代理程式,之后开启后门,并与外部C&C伺服器建立通讯。?

安全公司研究骇客C&C伺服器上的脚本物件后,发现它与3月初思科侦测到的Talos部门发现的PowerShell无档案攻击所用的伺服器十分类似。而其他脚本语言及物件则可追溯到2月初卡巴斯基发现到攻陷大型银行、电信及政府机构的Meterpreter无档案攻击恶意程式,以及近日FireEye发现专门窃取处理美国证管会文件的人员的恶意程式。FireEye认为这桩攻击和Fin7组织有关。?

研究人员发现C&C伺服器三天来发出多种不同攻击指令,有的是完全无档案的攻击,有的则是发出密码窃取工具LaZagne、Mimikatz及Cmd等工具的控制程式,以及Python执行档等。研究人员并指出,这起攻击行动手法相当高明,仅锁定少数特定知名企业避免曝光,且透过WMI执行PowerShell指令,因此甚难被防毒软体侦测到。?

Morphisec在调查期间和骇客有过短暂交手。研究人员曾经透过攻击使用的PowerShell协定和骇客通讯,对方发现后即立即封锁了研究人员使用的其中一个IP,随后就完全关闭这台C&C伺服器。所幸关闭C&C伺服器后,也切断了它控制受害者的管道,暂时阻止后续一连串攻击的发生。

#
  

pre next

发表评论