當前位置: > >研究:無檔案攻擊、DNS PowerShell攻擊疑是同一駭客組織所為

研究:無檔案攻擊、DNS PowerShell攻擊疑是同一駭客組織所為

03-24,IT資訊研究:無檔案攻擊、DNS PowerShell攻擊疑是同一駭客組織所為最新消息報導,口袋科技網(http://www.fbajfi.live)IT資訊
圖片來源: 

Morphisec

安全業者Morphisec研究人員發現一樁惡意Word網釣攻擊,可能和今年以來接連幾樁重大攻擊一樣,出自一個名為Fin7的駭客組織。?

Morphisec在3月8日調查一個利用透過網釣郵件傳送包含惡意巨集的Word檔案,對特定知名企業進行無檔案攻擊。?

駭客的網釣郵件附上具有惡意巨集的Word文件檔,誘騙使用者開啟文件。文件開啟后即啟動巨集,并利用Windows Management Instrument (WMI)執行PowerShell代理程式,之后開啟后門,并與外部C&C伺服器建立通訊。?

安全公司研究駭客C&C伺服器上的腳本物件后,發現它與3月初思科偵測到的Talos部門發現的PowerShell無檔案攻擊所用的伺服器十分類似。而其他腳本語言及物件則可追溯到2月初卡巴斯基發現到攻陷大型銀行、電信及政府機構的Meterpreter無檔案攻擊惡意程式,以及近日FireEye發現專門竊取處理美國證管會文件的人員的惡意程式。FireEye認為這樁攻擊和Fin7組織有關。?

研究人員發現C&C伺服器三天來發出多種不同攻擊指令,有的是完全無檔案的攻擊,有的則是發出密碼竊取工具LaZagne、Mimikatz及Cmd等工具的控制程式,以及Python執行檔等。研究人員并指出,這起攻擊行動手法相當高明,僅鎖定少數特定知名企業避免曝光,且透過WMI執行PowerShell指令,因此甚難被防毒軟體偵測到。?

Morphisec在調查期間和駭客有過短暫交手。研究人員曾經透過攻擊使用的PowerShell協定和駭客通訊,對方發現后即立即封鎖了研究人員使用的其中一個IP,隨后就完全關閉這臺C&C伺服器。所幸關閉C&C伺服器后,也切斷了它控制受害者的管道,暫時阻止后續一連串攻擊的發生。

聲明:

·凡注明為其他媒體來源的信息,均為轉載自其他媒體,轉載并不代表本網贊同其觀點,也不代表本網對其真實性負責。如系原創文章,轉載請注明出處。

·您若對該稿件內容有任何疑問或質疑,請即聯系,本網將迅速給您回應并做處理。

郵箱:[email protected]

+1 已贊
已有8人贊過
評論13

發表評論請 登錄
  • 最新
  • 最熱
評論舉報

請選擇舉報理由

17 13

已收藏
去我的收藏夾 >

已取消收藏
去我的收藏夾 >

7星彩玩法