PDF作為初始攻擊 執行惡意指令、後門程式
編譯/陳佩君
最近,威脅應對單位eSentire TRU報告指出,自2022年11月以來駭客重新展開一場針對製造業、商業和醫療機構的惡意攻擊活動,使用PDF檔案作為初始攻擊手法,通過釣魚郵件來傳送惡意載荷,利用執行惡意指令、後門程式和Python腳本等技術手段侵入受害組織的系統。
具體而言,駭客利用釣魚郵件來誘導使用者打開攜帶惡意載荷的PDF附件,其為了讓使用者誤以為該郵件是真實,駭客會在寄件者網域中嵌入Vesta控制面板的相關資訊,通過PDF附件中的連結,使用者被重新導向到駭客控制下的「saprefx[.]com」域名。而根據使用者的位置不同,域名的行為也會有所不同,一種情況是使用者會被重新導向到帶有JavaScript載荷的最終域名,另一種是使用者會遇到TeamViewer安裝程式頁面。一般情況下,受影響的WordPress網站會成為JavaScript載荷托管平台。
當使用者打開JavaScript附件時,惡意腳本會使用「InstallProduct」方法來下載並執行MSI檔案。VBS檔案會利用C槽的序列號作為參數,與C2伺服器建立連接。接著,悄悄地在背景中啟動Windows Installer產品,而使用者則毫不知情。在MSI檔案中,包含了多種工具和腳本,主要用於在感染時捕獲電腦螢幕截圖,這個過程通過AutoHotKey腳本實現,觀察到的工具包括AutoIt、Python腳本和i_view32.exe。
在攻擊初期,安全分析師觀察到駭客釋放了後門程式、Cobalt Strike載荷和Python腳本。PowerShell腳本利用LoadLibraryA函數來加載kernel32.dll和crypt32.dll,使用CryptStringToBinaryA函數將base64字串轉換為二進位格式。Cobalt Strike加載程式會通過檢查「powershell.exe」程序來進一步進行惡意載荷操作。在第二次攻擊中,駭客引入自己開發的後門工具「resident2.exe」,其是用C語言編寫的32位可執行檔。在第三次攻擊中,駭客利用wscript.exe來啟動惡意JavaScript檔案。在最後一次攻擊中首先使用au3.exe,在生成一系列額外的惡意可執行檔。
根據分析,建議採取幾種措施提高安全性,確保每台設備都實施必要的威脅偵測與回應(Endpoint Detection and Response,EDR)解決方案以增強保護、利用學術評估測試預考(Preliminary Scholastic Assessment Test,PSAT)提供員工關於竊盜程式及偷渡式下載涉及風險的適當教育、確保建立員工提交可能被視為惡意內容進行適當評估的程序、使用Windows攻擊面減少規則來阻止由JavaScript和VBScript啟動的下載內容的執行。這些措施能夠提高企業安全性,保護系統免受駭客攻擊的威脅。
資料來源:Cyber Security News
瀏覽 699 次