根据CheckPoint Research的一份新报告,俄罗斯黑客最近通过发送恶意附件袭击了一些欧洲大使馆。 “这次攻击始于一个伪装成美国最高机密文件的恶意附件,它将受欢迎的远程访问和桌面共享软件TeamViewer武器化,以便完全控制受感染的计算机。”黑客攻击的目标是欧洲驻尼泊尔大使馆,圭亚那,肯尼亚,意大利,利比里亚,百慕大和黎巴嫩。
黑客通常会通过电子邮件向官员发送带有恶意宏的Microsoft Excel电子表格,这些电子邮件似乎来自美国国务院。一旦打开,黑客就可以通过恶意的Teamviewer完全控制受感染的计算机。根据CheckPoint分析,
图片:CheckPoint
启用宏后,将从XLSM文档中的十六进制编码单元格中提取两个文件:
合法的AutoHotkeyU32.exe程序。
AutoHotkeyU32.ahk→一个AHK脚本,它向C&C服务器发送POST请求,并可以接收其他AHK脚本URL以下载和执行。
三个不同的AHK脚本正在服务器上等待下一阶段:
hscreen.ahk:获取受害者PC的屏幕截图并将其上传到C&C服务器。
hinfo.ahk:将受害者的用户名和计算机信息发送到C&C服务器。
htv.ahk:下载TeamViewer的恶意版本,执行它并将登录凭据发送到C&C服务器。
很难说这一运动背后是否存在地缘政治动机,因为它不针对特定地区,受害者来自世界各地。政府财政官员也遭到了这些攻击,CheckPoint Research指出,黑客对这些受害者特别感兴趣,他们似乎是从几个税收当局中精心挑选出来的政府官员。
黑客是非常复杂,精心策划的攻击,使用为受害者的利益量身定制的诱饵文件,并针对特定的政府官员。
虽然黑客是俄罗斯人,但这些攻击不太可能由俄罗斯国家赞助,而且CheckPoint Research认为他们的攻击应该是经济上的动机。
来自:Checkpoint
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx