单机游戏大全免费

游戏大全

当前位置:首页 > 互联网 IT业界 > “幻蓝行动”报告:黑客制作恶意Office文档,分发窃取敏感数据

“幻蓝行动”报告:黑客制作恶意Office文档,分发窃取敏感数据

admin 互联网 IT业界 45热度

  IT 之家 3 月 20 日消息,以色列网络安全公司 Perception Point 近日发布报告,公布了关于“幻蓝行动”(Operation PhantomBlu)的最新追踪调查报告。

  “幻蓝行动”是指近期针对美国企业的网络钓鱼活动,黑客制作携带有 NetSupport RAT 木马的微软 Office 文件,并通过邮件方式分发,吸引用户点击打开,从而远程窃取敏感数据。

  NetSupport RAT 源自合法的远程桌面工具 NetSupport Manager,是一种恶意软件,网络犯罪分子通常利用该工具,在已经被入侵的终端上搜刮各种数据。

  黑客首先会制作一封以工资为主题的钓鱼邮件,看起来像是由会计团队发送的。它要求收件人打开所附的 Microsoft Word 文档,查看每月工资报告。

  安全团队检查电子邮件标题(主要是 Return-Path 和 Message-ID 字段)后发现,黑客使用了一个名为 Brevo(以前称为 Sendinblue)的有效电子邮件营销平台来发送电子邮件。

  受害者打开 Word 文档时,系统会要求他们输入电子邮件正文中提到的密码并启用编辑功能。然后,他们双击文档中嵌入的打印机图标,查看工资图表。

  后续该文件会解压名为 Chart20072007.zip 的 ZIP 压缩文件,其中包含一个 Windows 快捷方式文件,该文件可用作 PowerShell 驱动器,从远程服务器检索并执行 NetSupport RAT 安装文件。

  PhantomBlu 使用加密的 .doc 文件,通过 OLE 模板和模板注入的方式发送 NetSupport RAT,这标志着 PhantomBlu 与通常与 NetSupport RAT 部署相关的传统 TTP 的不同,并添加了更新的技术,展示了 PhantomBlu 在将复杂的规避策略与社交工程相结合方面的创新。

更新时间 2024-05-05 07:23:55