原标题:空白Word暗藏木马,俄国骇客组织用微软DDE协议攻击散布恶意程式
图片来源:McAfee
安全研究人员发现的俄国骇客组织Fancy△Bear最近发动网钓攻击,其中利用微软Windows中的动态资料交换(Dynamic△Data△Exchange,DDE)协议,使Word文件不用巨集也可感染用户PC。?Fancy△Bear又名APT28,是极为活跃的俄国骇客组织,曾经先后入侵美国民主党代表大会及世界反禁药组织窃取资料。近日安全公司趋势科技双双发现,Fancy△Bear最近散布了一份宣称要发动纽约市恐怖攻击的Word文件IsisAttackInNewYork.docx,利用Microsoft△动态资料交换(Dynamic△Data△Exchange, DDE)协议来感染用户PC。?用户如果在诱使下打开这份Word档案会发现内文是空的。但档案一经开启,Office产品中的DDE功能即呼叫PowerShell执行指令,连上外部C△C伺服器,载入名为Seduploader的恶意程式。该程式会搜集受害电脑的主机资讯回传给攻击者。如果该机器是攻击者有兴趣的目标,即会执行第二道PowerShell指令,安装X-Agent或Sedreco等后门程式。?趋势科技研究人员Ryan△Sherstobitoff及Michael△Rea表示,使用Office△DDE攻击时,不论巨集是否启动,攻击者都能在受害系统中执行任意程式码,这也是Fancy△Bear/APT△28首次被发现使用到这种过去较不为人知的攻击手法。?但这并不是DDE第一次遭到骇客滥用。上个月思科(Cisco)旗下的资安团队Talos△也发现一则假冒美国证券交易委员会(SEC)的网钓邮件中,骇客也是利用DDE协议来散布恶意程式。同月Word△DDE协议攻击也被发现用来散布Locky勒索软件。
相关:
微软发表开源韧体计划Cerberus专案,致力于改善OCP伺服器韧体安全
微软本周发表了Cerberus专案(Project△Cerberus)来改善硬件装置的韧体安全,这也是微软继2016年10月所推出的Olympus专案(Project△Olympus)之后,另一项将贡献给开放运算计划(Open△Compute△Project,OCP)的作
维基解密再爆更多Vault 8骇客工具,CIA专用木马控制后台Hive的原始码曝光
图片来源: 维基解密 在揭露来自美国中央情报局(CIA)Vault△7系列的骇客工具文件后,WikiLeaks本周四(11/9)发表了Vault△8系列,进一步提供基于Vault△7软件专案的分析与程式码,打头阵的是CIA所使用的恶意程式控
示意图,与新闻事件无关。 微软于周日(11/5)公布了基于Windows△10秋季创作者更新(Fall△Creators△Update)的装置安全标准,这些标准适用于通用型的桌上型电脑、笔电、平板电脑、二合一装置与行动工作站,宣称
天堂文件揭露脸书与Twitter都曾有俄国资金,是政治操作还是商业投资?
示意图,与新闻事件无关。 图片来源: 维基共享资源;作者:Jericho 德国媒体《南德日报》(Suddeutsche△Zeitung)本周日(11/5)联手全球100家媒体共同揭露离岸法律事务所Appleby所外泄的“天堂文件”(Paradise△
金融木马也讲究SEO优化!骇客靠SEO提高受害网站的Google搜寻排序,来散布金融木马
图片来源: Talos图片组合 思科旗下的安全研究团队Talos近日揭露一新型态的金融木马散布途径,显示骇客直接入侵合法网站,同时利用Google搜寻来触及受害者,而非利用网钓或是零时差漏洞等传统手法来散布恶意程式。骇客