原标题:研究:无档案攻击、DNS PowerShell攻击疑是同一骇客组织所为
此一恶意的Word档案被防毒软体辨识的比率相当低。
图片来源:Morphisec
安全业者Morphisec研究人员发现一桩恶意Word网钓攻击,可能和今年以来接连几桩重大攻击一样,出自一个名为Fin7的骇客组织。?
Morphisec在3月8日调查一个利用透过网钓邮件传送包含恶意巨集的Word档案,对特定知名企业进行无档案攻击。?
骇客的网钓邮件附上具有恶意巨集的Word文件档,诱骗使用者开启文件。文件开启后即启动巨集,并利用Windows Management Instrument (WMI)执行PowerShell代理程式,之后开启后门,并与外部C C伺服器建立通讯。?
安全公司研究骇客C C伺服器上的脚本物件后,发现它与3月初思科侦测到的Talos部门发现的PowerShell无档案攻击所用的伺服器十分类似。而其他脚本语言及物件则可追溯到2月初卡巴斯基发现到攻陷大型银行、电信及政府机构的Meterpreter无档案攻击恶意程式,以及近日FireEye发现专门窃取处理美国证管会文件的人员的恶意程式。FireEye认为这桩攻击和Fin7组织有关。?
研究人员发现C C伺服器三天来发出多种不同攻击指令,有的是完全无档案的攻击,有的则是发出密码窃取工具LaZagne、Mimikatz及Cmd等工具的控制程式,以及Python执行档等。研究人员并指出,这起攻击行动手法相当高明,仅锁定少数特定知名企业避免曝光,且透过WMI执行PowerShell指令,因此甚难被防毒软体侦测到。?
Morphisec在调查期间和骇客有过短暂交手。研究人员曾经透过攻击使用的PowerShell协定和骇客通讯,对方发现后即立即封锁了研究人员使用的其中一个IP,随后就完全关闭这台C C伺服器。所幸关闭C C伺服器后,也切断了它控制受害者的管道,暂时阻止后续一连串攻击的发生。
相关:
民进党籍立委江永昌表示,金管会周边单位竟然有僵尸基金,尤其,金融研究发展基金成立的金融研究资源整合平台,其最热门下载版位的单篇研究报告竟然还挂零。立法院财政委员会今天审查金融监督管理委员会主管非营业特
美国体操性侵案,去年夏天的一纸调查让世界震惊,在《印第安纳波利斯星报》和《今日美国》进行的联合调查中,美国体操界的性侵恶行达到触目惊心的地步。而到了最近,美国报纸以《20年,368名体操少年被性侵》为题披露了
趋势科技:为何骇客特别爱用IoT装置当作攻击跳板,装置管理权责划分不易是主因
骇客锁定IoT装置攻击事件发生的越来越频繁,趋势科技全球消费市场开发协理许育诚也估计,今年下一波可能受到攻击的国家,很可能会是以IoT装置製造为主的国家,如中国和东南亚国家等。「这也印证了IoT装置安全已经到
明年底将拥有50个尖端实验室昨天,杭州云栖小镇迎来了一件大事。浙江西湖高等研究院首批学术人才和教职员工正式入驻,这也标志着10万平方米的高研院园区正式启用了。目前,西湖高研院包括7栋7层建筑。其中,4栋主体建
女星私密照接二连三外流,电影“惊声尖叫”演员罗丝麦高恩也遭殃,而她并没有打算要轻易放过那些骇客。美国娱乐新闻网站Gossip Cop报道,罗丝麦高恩的裸照与性爱视频遭骇客窃取外流,她今天上午在推特向那些匿名骇客