腾讯安详预警:Gorgon以PPT为诱饵投递进攻邮件,政企用户需高度鉴戒
|
病毒木马无孔不入,现在连PPT也难逃“魔掌”。日前,腾讯安详威胁谍报中心检测到多个企业受到以PPT文档为诱饵的垂纶邮件进攻。经说明发明,该进攻由Gorgon黑产组织提倡,被投递的PPT文档中均包括恶意宏代码,用户一旦打开就会启动恶意措施下载Azorult窃密木马,导致账号暗码丢失、信息走漏等严峻效果。腾讯安详提示企业及小我私人用户进步鉴戒、留意防护。 此次变乱的初始进攻以PPT文档为诱饵,文件名包罗“SHN FOODS ORDER.ppt”、“PrivateConfidential.ppt”、“Analysis Reports.ppt”、“Order001.ppt”、“payment_receipt.ppt”等,邮件主题以订单、付款收条、说明陈诉为主,如Purchase Order2020、payment_receipt.ppt等。据腾讯安详相干专家先容,此次进攻的最大特点是恶意代码生涯在托管平台pastebin上,首要包罗VBS剧本、Base64编码的Powershell剧本以及颠末夹杂的二进制数据。因为pastebin是第三方网站,同时进攻者在执行代码中插手了一些字符反转和字符毗连操纵,较轻易躲避安详检测。
以订单、付款收条、说明陈诉为主题的进攻邮件 在进攻变乱中,一旦用户点击运行含有恶意代码的PPT,宏代码就会启动mshta执行生涯在pastebin上的长途剧本代码。在后续阶段,进攻者会通过打算使命下载RAT木马,然后将其注入指定历程执行,RAT会不按期改换。从当前捕捉到的样原来看首要为Azorult窃密木马,用户被传染后,进攻者将能获取受害呆板上的种种账号暗码,如电子邮件帐户、通讯软件、Web Cookie、赏识器汗青记录和加密钱币钱包等,同时还能上载和下载文件、举办截屏操纵,危害极大。 腾讯安详通过对进攻勾当具体说明发明,此次进攻者注册的pastebin账号”lunlayloo”与另一个账号“hagga”对应进攻变乱中行使的TTP高度相似,根基可以断定两者属于统一家属ManyaBotnet。同时,基于高程度的TTP技能,专家以为此次进攻与Gorgon Group黑产组织有关。此前,该组织已对包罗英国、西班牙、俄罗斯和美国在内的多个当局组织举办针对性进攻,影响普及。
Manabotnet进攻流程 腾讯安详专家指出,Gorgon Group为专业的黑客组织,善于进攻大型企业、行业及有当局配景的机构组织,一旦攻下体系危害极大,因此提议企业回收安详厂商的专业办理方案晋升体系安详性,防备黑客组织进攻。 腾讯安详针对Gorgon组织的种种进攻本领构建了涵盖威胁谍报、界线防护、终端掩护在内的立体防止系统,打造发明威胁、说明威胁、处理威胁的安详闭环。在威胁谍报方面, T-Sec威胁谍报云核处事、T-Sec高级威胁追溯体系已支持Gorgon 组织的相干信息和谍报,可智能感常辨认安详威胁,追溯收集入侵源头。在界线防护上,云防火墙已同步支持Gorgon Group相干联的IOCs辨认和拦截,同时T-Sec高级威胁检测体系可基于收集流量举办威胁检测,实时发明安详风险。在终端安详上,T-Sec主机安详、T-Sec终端安详打点体系能实现对云上终端和企业终端的防鸩杀毒、防入侵、裂痕打点和基线打点,今朝已支持查杀Gorgon Group组织开释的后门木马措施、恶意Office宏代码,拦截Powershell执行恶意剧本等。对付小我私人用户,腾讯电脑管家也已支持对Gorgon Group黑产团伙撒播病毒木马的查杀,用户可予以安装,增强防护。
腾讯安详办理方案陈设表示图 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
