黑客为你发offer
发布时间:2022-07-22 09:23:31 所属栏目:安全 来源:互联网
导读:依托社交媒体开展的间谍活动近年来不在少数,伪装、假冒、社会工程学等手段也是层出不穷。近日,ESET网络安全研究人员发现了一场针对欧洲和中东航空航天和军事组织的网络间谍活动,这场活动背后的攻击者不仅将目标瞄准航空航天和军事组织的高层人员,还企图
依托社交媒体开展的间谍活动近年来不在少数,伪装、假冒、社会工程学等手段也是层出不穷。近日,ESET网络安全研究人员发现了一场针对欧洲和中东航空航天和军事组织的网络间谍活动,这场活动背后的攻击者不仅将目标瞄准航空航天和军事组织的高层人员,还企图获取金钱利益。 一开始的时候,这场活动目标明确,具有高度针对性,ESET认为攻击者利用社会工程学的技巧诱骗这些目标组织的员工,伪装成知名航空航天和军事企业的HR,通过领英发送虚假岗位信息。 cyber-attack.jpg 研究人员提及: “一旦建立起联系,攻击者就会将恶意文件伪装成相关职业offer发给对方。” 作为诱饵的RAR存档文件直接通过聊天窗口进行发送,或通过虚假的领英账号(指向OneDrive链接)直接发送到电子邮箱中,表面上,其中包含PDF文档,详细说明特定职位和薪水信息,而实际上,它执行Windows命令提示符实用程序,执行一系列操作: 将Windows Management Instrumentation命令行工具(wmic.exe)复制到特定文件夹; 伪装命名以逃避检测(例如,Intel,NVidia,Skype,OneDrive和Mozilla); 创建计划任务,这些任务通过WMIC执行远程XSL脚本。 攻击者针对目标企业完成第一步之后,便继续使用自定义恶意软件下载器,该下载器可下载之前未记录的第二阶段有效负载,一个C ++后门,可定期将请求发送到攻击者控制的服务器,根据接收到的命令执行预定义的操作,并通过dbxcli的修改版dropbox的开源命令行客户端,将收集到的信息作为RAR文件进行提取。 攻击者除了使用WMIC解释远程XSL脚本外,还滥用本机Windows实用程序,例如“ certutil”来解码base64编码的下载负载,以及“ rundll32”和“ regsvr32”来运行其自定义恶意软件。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |