俄罗斯政府和工业部门等数十家组织遭受大规模网络攻击

阅读量97275

发布时间 : 2023-10-25 11:35:02

俄罗斯政府和工业部门机构已成为 卡巴斯基实验室发现的大规模网络攻击的受害者 。攻击者使用附有恶意存档的网络钓鱼电子邮件,在受感染的设备上启动了新的后门。攻击的目标是窃取屏幕截图、文档、浏览器密码和剪贴板信息等数据。

这次攻击从 2023 年 6 月开始,一直持续到 8 月中旬。攻击者模仿监管机构的官方信息发送信件,其中包含 PDF 格式的虚假文档和恶意存档。如果受害者打开存档,[NSIS].nsi 脚本就会在他们的设备上启动,该脚本会在隐藏窗口中安装后门。同时,下载恶意软件的网站名称模仿了官方部门的网站。

启动后,恶意软件会检查互联网访问并尝试连接到合法的网络资源(外国媒体)。然后,它会检查受感染设备是否有可以检测其存在的软件和工具,例如沙箱或虚拟环境。如果至少有一个,后门就会停止活动。当所有检查都通过后,恶意软件会连接到攻击者的服务器并加载模块,使其能够从剪贴板窃取信息、截取屏幕截图并在流行扩展名中查找用户文档(例如 doc、.docx、.pdf、. xls、.xlsx)。所有数据均传输至控制服务器。

8月中旬,攻击者更新了他们的后门,添加了一个用于从浏览器窃取密码的新模块,并增加了对环境的检查次数。感染链保持不变。其中的差异在于,攻击者通过访问合法的网络资源取消了对互联网访问的检查:现在恶意程序立即连接到控制服务器。该恶意软件还添加了一个模块,允许其从浏览器窃取密码。此外,对环境中是否存在可检测恶意活动的工具的检查次数也有所增加。

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/290980

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66