近日,Cyber Security报道了MuddyWater APT组织针对黎巴嫩和阿曼的APT攻击活动,值得关注的是在攻击手法上,从单阶段攻击变为双阶段攻击。第一阶段使用宏代码启动JavaScript脚本,然后第二阶段,启动Powershell脚本,最后下载Powershell后门PoistStice,其中的第一阶段和第二阶段的代码被严重混淆。
威胁来源:https://www.clearskysec.com/muddywater-operations-in-lebanon-and-oman/
近日,CROWDSTRIKE报道, HELIXKITTEN APT组织发起攻击,通常使用混淆的宏代码作为攻击入口,而自己开发的工具ISMDoor能够泄露数据,截取屏幕截图,并在受害者的机器上执行任意命令。命令和控制(C2)通过基于DNS AAAA记录的隐蔽信道执行。这次攻击针对目标仍然不明确,但是针对电信部门值得注意。
威胁来源:https://www.crowdstrike.com/blog/meet-crowdstrikes-adversary-of-the-month-for-november-helix-kitten/
近期,思科Talos 发现了一个针对黎巴嫩和阿联酋的新攻击,在这次攻击中,攻击者使用了两个虚假的恶意网站和恶意宏文档,使用的恶意软件被成为”DNSpionage”, 在这次攻击中,首先使用宏将解码base64编码的PE文件,并将创建一个计划任务,来执行释放的文件。使用的恶意文件DNSpionage ,使用DNS隧道作为与攻击者基础设施进行通信的隐蔽隧道,所有数据都以JSON格式传输。
威胁来源:https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html
京公网安备 11010802024705号 京ICP备20030588号 Copyright © 兰云科技 www.lanysec.com 版权所有
