3 月 20 日消息,以色列網絡安全公司 Perception Point 近日發布報告,公布了關于“幻藍行動”(Operation PhantomBlu)的最新追蹤調查報告。
“幻藍行動”是指近期針對美國企業的網絡釣魚活動,黑客制作攜帶有 NetSupport RAT 木馬的微軟 Office 文件,并通過郵件方式分發,吸引用戶點擊打開,從而遠程竊取敏感數據。
NetSupport RAT 源自合法的遠程桌面工具 NetSupport Manager,是一種惡意軟件,網絡犯罪分子通常利用該工具,在已經被入侵的終端上搜刮各種數據。
黑客首先會制作一封以工資為主題的釣魚郵件,看起來像是由會計團隊發送的。它要求收件人打開所附的 Microsoft Word 文檔,查看每月工資報告。
安全團隊檢查電子郵件標題(主要是 Return-Path 和 Message-ID 字段)后發現,黑客使用了一個名為 Brevo(以前稱為 Sendinblue)的有效電子郵件營銷平臺來發送電子郵件。
受害者打開 Word 文檔時,系統會要求他們輸入電子郵件正文中提到的密碼并啟用編輯功能。然后,他們雙擊文檔中嵌入的打印機圖標,查看工資圖表。
后續該文件會解壓名為 Chart20072007.zip 的 ZIP 壓縮文件,其中包含一個 Windows 快捷方式文件,該文件可用作 PowerShell 驅動器,從遠程服務器檢索并執行 NetSupport RAT 安裝文件。
PhantomBlu 使用加密的 .doc 文件,通過 OLE 模板和模板注入的方式發送 NetSupport RAT,這標志著 PhantomBlu 與通常與 NetSupport RAT 部署相關的傳統 TTP 的不同,并添加了更新的技術,展示了 PhantomBlu 在將復雜的規避策略與社交工程相結合方面的創新。
IT酷哥附上參考地址
Operation PhantomBlu: New and Evasive Method Delivers NetSupport RAT
本文鏈接:http://www.www897cc.com/showinfo-26-77996-0.html“幻藍行動”報告:黑客制作惡意 Office 文檔,分發竊取用戶敏感數據
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com