| 关键词: 文件 活动 研究人员 攻击 组织 某国 归因 东北亚 黑客 工具集 |
安全研究人员发现了一项新的高级威胁活动,该活动归因于APT37,这是东北亚某国黑客组织,针对捷克,波兰和其他欧洲国家的专业黑客组织。 在攻击活动中,黑客使用被称为Konni的恶意软件,这是一种远程访问木马(RAT),能够在目标主机建立持久性并执行权限提升。 自2014年以来,Konni一直与东北亚某国的网络攻击有关。Securonix的研究人员观察和分析了最新且仍在进行的活动,他们称之为STIFF#BIZON。 攻击始于网络钓鱼电子邮件,其中包含Word文档(missile.docx)和Windows快捷方式文件(_weapons.doc.lnk.lnk)的存档附件。 打开 LNK 文件时,运行代码以在 DOCX 文件中查找 base64 编码的 PowerShell 脚本,以建立 C2 通信并下载两个附加文件“武器.doc”和“wp.vbs”。 下载的文件是一个诱饵,据说是俄罗斯战地记者奥尔加·博热娃(Olga Bozheva)的报道。同时,VBS 文件在后台静默运行,以在主机上创建计划任务。此时,RAT后门已经加载并建立了连接,并能执行以下操作:
虽然攻击活动的战术和工具集(TTP)指向APT37,但Securonix强调不排除APT28(又名FancyBear)的可能性。APT组织经常进行假旗活动,试图模仿其他知名APT组织的TTP来掩盖其踪迹,并以此误导威胁分析师。因此,研究人员仅凭有限的证据链,导致错误归因的可能性较大。 参考链接:bleepingcomputer.com |
| 本文出处: https://www.toutiao.com/article/7123831514906886656/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|