微软发出警告:航空航天和旅行领域的组织受到攻击

六六传世原创文章投稿奖励计划

微软研究人员透露,在过去的几个月中,基于恶意软件的活动已将航空航天和旅行业的组织作为攻击目标。

威胁行为者使用专门针对目标组织感兴趣的消息进行了鱼叉式网络钓鱼活动。该活动使用欺骗合法组织的电子邮件,诱使与航空,旅行或货运有关的电子邮件。电子邮件使用伪装成PDF文件的图像,其中包含嵌入式链接(通常滥用合法的Web服务),该链接下载恶意的VBScript,从而丢弃RAT负载。

在过去的几个月中,Microsoft一直在跟踪针对航空航天和旅游业的动态战役,其中包含鱼叉式网络钓鱼电子邮件,这些电子邮件分发了主动开发的加载程序,然后再加载RevengeRAT或AsyncRAT。pic.twitter.com/aeMfUUoVvf
-Microsoft安全情报(@MsftSecIntel)2021年5月11日
该活动使用欺骗合法组织的电子邮件,诱使与航空,旅行或货运有关的电子邮件。冒充为PDF文件的图像包含一个嵌入式链接(通常滥用合法Web服务),该链接下载了恶意的VBScript,从而丢弃了RAT有效载荷。pic.twitter.com/9r0OTmZQJb
-Microsoft安全情报(@MsftSecIntel)2021年5月11日

攻击者使用了一种名为Snip3的新型装载机,该装载机正在积极开发中,最近由Morphisec研究人员进行了分析,该装载机在过去的几个月中已经发现了十二种版本。
攻击链的第一阶段是VB脚本,旨在加载然后将执行转移到第二阶段PowerShell脚本。在此初始加载程序阶段,我们确定了四个包含11个子版本的版本,这四个版本之间的主要区别是第二阶段PowerShell加载机制。11个子版本之间的主要区别在于每个版本使用的混淆类型。” 国家Morphisec。
Microsoft观察到的攻击的最后阶段是常见的RAT,例如RevengeRAT或AsyncRAT,专家还报告说,还涉及其他有效负载,包括 Agent Tesla和 NetWire RAT。
威胁行动者利用该恶意软件从受害者那里窃取了敏感数据
RAT是使用动态托管站点上托管的C2服务器进行控制的,它们使用UTF-8编码的PowerShell和无文件技术,可以从pastebin [。] com或类似站点下载另外三个阶段。
木马试图将组件注入诸如RegAsm,InstallUtil或RevSvcs之类的进程中。

木马会不断重新运行组件,直到它们能够注入到RegAsm,InstallUtil或RevSvcs之类的进程中为止。他们窃取凭据,屏幕截图和摄像头数据,浏览器和剪贴板数据,系统和网络,并经常通过SMTP端口587泄露数据。pic.twitter.com/ TKRSPpNujq
-Microsoft安全情报(@MsftSecIntel)2021年5月11日

www.idc126.com

最终的有效负载使攻击者能够窃取凭据,截取屏幕快照并通过网络摄像头进行监视,然后通过SMTP端口587窃取被盗数据。
“ Microsoft 365 Defender检测到此攻击的多个组件。我们的研究人员正在密切监视该活动,并将通过Microsoft 365安全中心和Microsoft Threat Experts分享其他信息和调查指南。” 微软总结。

本原创,作者:张,其版权均为六六传世网所有。如需转载,请注明出处:http://66woool.com/77169kx/279619.html