最新活动!与朝鲜有关的APT37组织正攻击捷克、波兰等多个国家
此活动中使用的附件是一个包含 Word 文档 (missile.docx) 和 Windows 快捷方式文件 (_weapons.doc.lnk.lnk) 的档案。
一旦打开 LNK 文件,感染链就会启动。
“代码执行首先将一小段代码嵌入到快捷方式文件中,当用户双击它时,该快捷方式文件将与预期的二进制文件一起运行和执行。” 阅读专家发表的分析。“此代码运行并执行附加到 missile.docx 文件末尾的 Base64 编码文本。”
Base64 有效负载与联系 C2 以下载和执行“weapons.doc”和“wp.vbs”文件的 PowerShell 脚本一起执行。
Weapons.doc 是一个诱饵文件,而 wp.vbs 在后台静默运行,并在名为“Office Update”的主机上创建一个计划任务,该任务执行以 Base64 编码的 PowerShell 脚本。
此时,C2 通信再次建立,允许攻击者访问系统。
一旦 Konni RAT 被加载到受感染的系统上,威胁参与者就可以使用特定模块实现以下功能:
Capture.net.exe – 使用 Win32 GDI API 捕获屏幕截图并将 gzip 压缩的结果上传到 C2 服务器。
chkey.net.exe – 提取存储在本地状态文件中的状态密钥,使用 DPAPI 加密。状态密钥允许攻击者解密 cookie 数据库解密,这在绕过 MFA 时很有用。
pull.net.exe – 从受害者的网络浏览器中提取保存的凭据。
shell.net.exe – 建立一个可以每 10 秒运行一次命令的远程交互式 shell。
为了进一步保持持久性,威胁参与者使用 Konni 恶意软件的修改版本,他们能够下载一个 .cab 文件,其中包含与恶意软件相关的多个文件(bat、dll、dat、ini、dll)。
专家们还讨论了在俄罗斯境内的 APT28 组织可能伪装成 APT37 的假旗行动的可能性。
“此外,在这次攻击和我们之前从 FancyBear/APT28 [3]中看到的历史数据之间,IP 地址、托管服务提供商和主机名之间似乎存在直接关联。最后,这个特殊案例的有趣之处在于,它使用了 Konni 恶意软件以及与 APT28 的相似之处。”
又一重大网络安全事件,台湾虎航遭遇网络攻击
2022.07.25
卡巴斯基警告:小心新的Luna勒索软件
2022.07.25
研究人员警告 谷歌浏览器在野外出现新变种
2022.07.22
注:本文由E安全编译报道,转载请联系授权并注明来源。