安基网 首页 资讯 安全报 查看内容

蹭“新冠病毒”热点,一群黑客对蒙古国下手了

2020-3-23 19:26| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近日,网络安全公司Check Point的研究人员发现了一场目标锁定蒙古国公共部门的黑客攻击活动,攻击者试图利用当前人们对于新型冠状病毒的关注,将一种此前从未被公开报道过的新型恶意软件安装到攻击目标的计算机上。在进行了深入的调查之后,研究人员还将这场活动与同一黑客组织进行的其他活动(至少可 ...

近日,网络安全公司Check Point的研究人员发现了一场目标锁定蒙古国公共部门的黑客攻击活动,攻击者试图利用当前人们对于新型冠状病毒的关注,将一种此前从未被公开报道过的新型恶意软件安装到攻击目标的计算机上。

在进行了深入的调查之后,研究人员还将这场活动与同一黑客组织进行的其他活动(至少可以追溯到2016年)联系了起来。多年来,这些活动针对了多个国家/地区的不同部门,包括乌克兰、俄罗斯和白俄罗斯。

诱饵文件

Check Point的调查起始于两份可疑的RTF文件。文件内容均采用蒙古文编写,其中之一声称来自蒙古国外交部。

图1.内容与新冠状病毒相关的文件


图2.内容与采购计划相关的文件

分析显示,这两份文件均采用了名为“RoyalRoad”(又称“8.t”)的工具的7.x版本进行武器化处理。

据称,这款工具允许攻击者创建带有嵌入式对象的自定义文档,从而利用Microsoft Word的Equation Editor漏洞。

感染链

恶意RTF文件一旦被打开,它就会尝试进行漏洞利用,以便将一个名为“intel.wll”释放到Word启动文件夹“%APPDATA%MicrosoftWordSTARTUP”中。

当Microsoft Word每次启动时,Word启动文件夹中的所有扩展名为“wll”的DLL文件也将启动,从而触发如下图所示的感染链。

图3.感染链

加载完成后,intel.wll将从C2服务器之一下载并解密感染链的下一阶段文件——另一个名为“minisdllpub.dll”的DLL文件,它被用作恶意软件框架的主加载程序。

在感染链的最后阶段,恶意加载程序会以DLL文件的形式下载并解密RAT模块,然后将其加载到内存中。

值得一提的是,这个RAT模块不同于此前被公开报道的任何一种远控木马,但仍保留了绝大多数的RAT核心功能,如:

  • 截屏
  • 枚举文件和目录
  • 创建或删除目录
  • 移动或删除文件
  • 下载文件
  • 创建并执行新进程
  • 获取所有服务的列表

RAT模块不直接从C2服务器接收命令,而是通过上面提到的minisdllpub.dll,完整的命令和对应的功能如下:

图4. RAT模块支持的命令和功能

结语

在这场新发现的黑客攻击活动中,攻击者试图利用社会热点来提高攻击目标打开恶意文件的概率,并且动用了自定义的新型恶意软件。

从Check Point目前收集的证据来看,这场活动还很有可能是一场目标锁定各国政府的持续性攻击活动的最新行动(关联活动可追溯至2016年)。

虽然攻击者的最终目的尚不能完全肯定,但他们显然还会采取后续行动,并尽一切努力将恶意软件安装到更多攻击目标的计算机上。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6805076852982415880/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部