美军事武器承包商遭黑客攻击,涉F-35“闪电”II

阅读量72798

发布时间 : 2022-09-29 11:38:34

近日,安全研究人员发现了一起针对多家参与武器制造军事承包商的新攻击活动,其中甚至涉及一家F-35 Lightning II 战斗机部件的供应商。

这起,高度针对性的攻击始于发送给员工的网络钓鱼电子邮件,导致涉及许多持久性和检测避免系统的多阶段感染。目前,尚无法将攻击活动归因为某一明确黑客组织。

在具体攻击过程中,针对员工的网络钓鱼电子邮件包含一个ZIP附件,其中包含一个快捷方式文件(“Company & Benefits.pdf.lnk”),该文件在执行时会连接到C2并启动一系列PowerShell脚本,从而使系统感染恶意软件。有趣的是,快捷方式文件并没有使用经常被滥用的“cmd.exe”或“powershell.exe”工具,而是依赖于不常见的“C:\Windows\System32\ForFiles.exe”命令来执行命令。接下来则是解开一个七阶段的PowerShell执行链,其特点是使用多种技术的重度混淆。

安全专家分析称,涉及的混淆技术是重新排序/符号混淆、IEX 混淆、字节值混淆、原始压缩、重新排序、字符串替换和反引号混淆。此外,该脚本会扫描与调试和监控软件相关的进程列表,检查屏幕高度是否高于777像素,内存是否高于4GB 以规避沙箱,并验证系统是否在三天前安装。[阅读原文]

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/281077

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66