Zscaler ThreatLabz 的一份报告对此进行了报道 。根据他们的数据,作为攻击的一部分,黑客向外交使团员工发送了pdf文件,据称是代表印度大使。这些信件包含定于 2024 年 2 月 2 日举行的品酒会邀请函。
其中一份此类 PDF 文档于 2024 年 1 月 30 日从拉脱维亚上传到 VirusTotal资源 。然而,有理由相信该活动最早可能于 2023 年 7 月 6 日开始。来自同一国家的另一个类似 pdf 的发现表明了这一点。
Sudeep Singh 和 Roy Tay 的安全研究人员表示:“此次攻击规模较小,并且在恶意软件本身以及命令和控制基础设施中都使用了先进的方法、技术和程序。”
该 pdf 文件包含伪装成调查问卷的恶意链接。收件人需要填写一份表格才能参加该活动。点击此链接可下载带有模糊 JavaScript 代码的 html 应用程序(“wine.hta”)。它旨在接收包含来自同一域的 WINELOADER 恶意软件的加密 ZIP 存档。
WINELOADER 核心包括一个从命令和控制服务器下载附加元素的模块。它还嵌入第三方 DLL 中,减少发送请求之间的时间间隔。
这些网络攻击的一个显着特征是使用被黑客入侵的网站作为命令和控制服务器并托管恶意软件。据推测,命令和控制服务器仅在特定时间并使用特殊协议接受来自恶意软件的请求。这使得攻击更加隐蔽且更难以检测。
正如研究人员指出的那样,黑客付出了巨大的努力来掩盖他们的踪迹。特别是,他们避免了可能引起内存分析系统和自动 URL 扫描注意的活动。
发表评论
您还未登录,请先登录。
登录