病毒木馬無(wú)孔不入,如今連PPT也難逃“魔掌”。日前,騰訊安全威脅情報(bào)中心檢測(cè)到多個(gè)企業(yè)受到以PPT文檔為誘餌的釣魚(yú)郵件攻擊。經(jīng)分析發(fā)現(xiàn),該攻擊由Gorgon黑產(chǎn)組織發(fā)起,被投遞的PPT文檔中均包含惡意宏代碼,用戶一旦打開(kāi)就會(huì)啟動(dòng)惡意程序下載Azorult竊密木馬,導(dǎo)致賬號(hào)密碼丟失、信息泄漏等嚴(yán)重后果。騰訊安全提醒企業(yè)及個(gè)人用戶提高警惕、注意防護(hù)。
此次事件的初始攻擊以PPT文檔為誘餌,文件名包括“SHN FOODS ORDER.ppt”、“PrivateConfidential.ppt”、“Analysis Reports.ppt”、“Order001.ppt”、“payment_receipt.ppt”等,郵件主題以訂單、付款收據(jù)、分析報(bào)告為主,如Purchase Order2020、payment_receipt.ppt等。據(jù)騰訊安全相關(guān)專(zhuān)家介紹,此次攻擊的最大特點(diǎn)是惡意代碼保存在托管平臺(tái)pastebin上,主要包括VBS腳本、Base64編碼的Powershell腳本以及經(jīng)過(guò)混淆的二進(jìn)制數(shù)據(jù)。由于pastebin是第三方網(wǎng)站,同時(shí)攻擊者在執(zhí)行代碼中加入了一些字符反轉(zhuǎn)和字符連接操作,較容易逃避安全檢測(cè)。
以訂單、付款收據(jù)、分析報(bào)告為主題的攻擊郵件
在攻擊事件中,一旦用戶點(diǎn)擊運(yùn)行含有惡意代碼的PPT,宏代碼就會(huì)啟動(dòng)mshta執(zhí)行保存在pastebin上的遠(yuǎn)程腳本代碼。在后續(xù)階段,攻擊者會(huì)通過(guò)計(jì)劃任務(wù)下載RAT木馬,然后將其注入指定進(jìn)程執(zhí)行,RAT會(huì)不定期更換。從當(dāng)前捕獲到的樣本來(lái)看主要為Azorult竊密木馬,用戶被感染后,攻擊者將能獲取受害機(jī)器上的各類(lèi)賬號(hào)密碼,如電子郵件帳戶、通信軟件、Web Cookie、瀏覽器歷史記錄和加密貨幣錢(qián)包等,同時(shí)還能上載和下載文件、進(jìn)行截屏操作,危害極大。
騰訊安全通過(guò)對(duì)攻擊活動(dòng)詳細(xì)分析發(fā)現(xiàn),此次攻擊者注冊(cè)的pastebin賬號(hào)”lunlayloo”與另一個(gè)賬號(hào)“hagga”對(duì)應(yīng)攻擊事件中使用的TTP高度相似,基本可以斷定兩者屬于同一家族ManyaBotnet。同時(shí),基于高水平的TTP技術(shù),專(zhuān)家認(rèn)為此次攻擊與Gorgon Group黑產(chǎn)組織有關(guān)。此前,該組織已對(duì)包括英國(guó)、西班牙、俄羅斯和美國(guó)在內(nèi)的多個(gè)政府組織進(jìn)行針對(duì)性攻擊,影響廣泛。
Manabotnet攻擊流程
騰訊安全專(zhuān)家指出,Gorgon Group為專(zhuān)業(yè)的黑客組織,擅長(zhǎng)攻擊大型企業(yè)、行業(yè)及有政府背景的機(jī)構(gòu)組織,一旦攻陷系統(tǒng)危害極大,因此建議企業(yè)采用安全廠商的專(zhuān)業(yè)解決方案提升系統(tǒng)安全性,防止黑客組織攻擊。
騰訊安全針對(duì)Gorgon組織的各類(lèi)攻擊手段構(gòu)建了涵蓋威脅情報(bào)、邊界防護(hù)、終端保護(hù)在內(nèi)的立體防御體系,打造發(fā)現(xiàn)威脅、分析威脅、處置威脅的安全閉環(huán)。在威脅情報(bào)方面, T-Sec威脅情報(bào)云查服務(wù)、T-Sec高級(jí)威脅追溯系統(tǒng)已支持Gorgon 組織的相關(guān)信息和情報(bào),可智能感知識(shí)別安全威脅,追溯網(wǎng)絡(luò)入侵源頭。在邊界防護(hù)上,云防火墻已同步支持Gorgon Group相關(guān)聯(lián)的IOCs識(shí)別和攔截,同時(shí)T-Sec高級(jí)威脅檢測(cè)系統(tǒng)可基于網(wǎng)絡(luò)流量進(jìn)行威脅檢測(cè),及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)。在終端安全上,T-Sec主機(jī)安全、T-Sec終端安全管理系統(tǒng)能實(shí)現(xiàn)對(duì)云上終端和企業(yè)終端的防毒殺毒、防入侵、漏洞管理和基線管理,目前已支持查殺Gorgon Group組織釋放的后門(mén)木馬程序、惡意Office宏代碼,攔截Powershell執(zhí)行惡意腳本等。對(duì)于個(gè)人用戶,騰訊電腦管家也已支持對(duì)Gorgon Group黑產(chǎn)團(tuán)伙傳播病毒木馬的查殺,用戶可予以安裝,加強(qiáng)防護(hù)。
騰訊安全解決方案部署示意圖
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )