ShellReset RAT 利用基于恶意宏的 word 文档传播
之前我们说到: *** 犯罪分子通常会将攻击点与热点相联系。近期,我们就发现有犯罪分子使用伦敦技术事件做诱饵来进行 *** 攻击。
2020年2月-5月,我们观察到在基于.space和.xyz域的新注册站点上托管了四个基于恶意宏的Microsoft Word文档。由于几个文档的最终有效负载的部署策略、技术和过程(TTP)十分类似,我们认为这是同一个攻击者的行为。
据了解,.NET有效负载的最终版以往从未被检测到过,它的代码段很小,而且与QuasarRAT相重叠,但此代码段在运行时并未使用。根据最终有效负载中的唯一字符串我们为把该RAT命名为ShellReset。由于被检测到的数量有限,我们认为这可能是是一种小范围的攻击活动,而攻击者在这个攻击过程中使用的主题也和今年在伦敦发生的热点事件有关,其中还包括5G Expo 和Futurebuild。
其中的感染链涉及一些有趣的技术,如在运行时使用受信任的Windows实用程序在终端上编译有效负载以绕过安全机制,还会从攻击者的服务器下载混淆后的源代码。本文我将对分发策略和攻击的技术进行详细分析。
…
更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1228/
消息来源:zscaler, 译者:dengdeng。
本文由 HackerNews.cc 翻译整理,封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
“ShellReset RAT 利用基于恶意宏的 word 文档传播” 的相关文章
荷兰白帽黑客轻松攻破电网控制系统 捧走其第四座 Pwn2Own 奖杯
在本周于佛罗里达州迈阿密举办的 Pwn2Own 2022 大会上,两名来自荷兰的白帽黑客获得了第四次胜利。作为这场年度黑客大会的大赢家,Dean Keuper 和 Thijs Alkemade 获得了 90000 美元奖励、且捧走了冠军奖杯。此前这对搭档曾于 2012、2018 和 2021 年创下...
乌克兰安全局宣称逮捕了协助俄军开展通讯中继服务的黑客
Vice 报道称,在最近一次行动中,乌克兰安全局(SBU)声称抓获了一名在乌境内为俄军提供通信服务的黑客。在当天上午 10 点发布的推文和电报消息中,SBU 分享了本次行动的诸多细节。尽管尚未得到另一独立消息源的证实,但我们已经看到了面部打码的黑客、以及所谓的通信系统照片。 电报帖子指出,黑客...
可口可乐 161GB 数据被盗 包括金融数据、密码和商业账户等
俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司,并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户,然后以 644 万美元或 1600 万个比特币的价格出售这些数据。 Stormous 在宣布成功入侵之前,曾在 Telegram 上发起投票,询...
微软警告称乌克兰计算机网络遭到具有潜在破坏性的网络攻击
微软周六晚间警告说,它在乌克兰的几十个政府和私人计算机网络中检测到一种极具破坏性的恶意软件,似乎在等待着一种未知行为的触发。该公司在一篇博文中说,周四,大约在乌克兰政府机构发现其网站被破坏的同一时间,监视微软全球网络的调查人员发现了该代码。微软说:”这些系统横跨多个政府、非营利组织和信息技术组织,都...
女子被控入侵飞行学校电脑系统 让需要维修的飞机起飞
据称,一名妇女入侵了佛罗里达州一家飞行培训学校的系统,删除并篡改了与该校飞机有关的信息。根据一份警方报告,在某些情况下,以前有维修问题的飞机被 “批准 “飞行。据该学校的首席执行官说,黑客攻击可能使飞行员处于危险之中。 这位名叫劳伦-利德的女性,曾经在墨尔本飞行培训学校工作,在2019年11月底,公...
Thunderbird 邮件客户端迎来 78.10.2 更新:堵上伪造发件人漏洞
过去几个月,Mozilla 旗下安全电子邮件客户端“雷鸟”(Thunderbird)被曝用纯文本格式保存了一些用户的 OpenPGP 密钥。该漏洞的追踪代号为 CVE-2021-29956,影响从 78.8.1 ~ 78.10.1 之间的软件版本。虽然严重等级较低,但开发者还是努力在新版中实施了修复...
评论列表
发表评论
