新的Adwind Campaign目标是Linux,Windows和macOS

  • 时间:
  • 浏览:33
  • 来源:it300
新的Adwind Campaign目标是Linux,Windows和macOS 思科Talos警告称,在最近一次活动中检测到的Adwind远程访问木马(RAT)样本被配置为在Linux,Windows和macOS系统上获得持久性。

这些攻击以Adwind 3.0 RAT为特色并使用了Microsoft Excel,ReversingLabs和Cisco Talos安全研究人员发现动态数据交换(DDE)代码注入攻击的变种。

该活动于8月26日开始,主要针对土耳其用户,75%的观察请求由该国制造。一些受害者位于德国,可能是那里土耳其社区的成员。携带恶意文件的垃圾邮件是用土耳其语写的。

攻击者以CSV和XLT的形式使用至少两种不同的滴管来处理其恶意负载。文件。然而,它们都会利用DDE代码注入攻击的新变种,直到现在仍未被发现。

在周一发布的一份报告中,Talos的研究人员解释说,滴管实际上可以有一个30个文件扩展名。虽然默认情况下不是所有这些都会在Microsoft Excel中打开,但是有些脚本可以使用非默认文件启动Excel,使它们在这种攻击情形中可行。

“因为文件的开头可以包含任何内容,没有要检查的标头,这可能会混淆防病毒,此外引擎可能会期望CSV格式的ASCII字符。如果其他格式可能不符合预期格式,可能会被视为已损坏,“Talos透露。

Excel也会显示警告关于代码执行的用户。一个警告通知该文件(不是真正的XLT文档)可能已损坏,询问用户是否确定要打开它。另外两个警告告诉用户文档将执行系统应用程序。

如果用户接受所有三个警告,则在系统上执行计算器应用程序。然而,该活动的目的是注入将创建和执行Visual Basic脚本的代码,该脚本使用bitasdmin,一个Microsoft工具来下载或上传作业并监视其进度,以获取最终的有效负载。

有效负载是一个Java归档文件,其中包含使用Allatori Obfuscator 4.7版的演示版本打包的代码。

打包的恶意软件是Adwind RAT v3.0的一个版本,con计划在所有三个主要桌面平台上实现持久性:Windows,Linux和macOS。然而,持久性机制对于每个平台都是不同的。

由于几个恶意组织的恶意目的,特洛伊木马使操作员能够在受害机器上执行所有类型的命令,记录击键,截取屏幕截图,拍照和传输文件。

“此广告系列中的droppers使用的DDE变体是关于如何欺骗基于签名的防病毒软件的一个很好的示例。它也是有关文件扩展名扫描配置的警告信号。多年来人们都知道这种注射方式,但是这位演员找到了一种方法来修改它以获得极低的检测率,“Talos总结道。

相关:正在进行的Adwind网络钓鱼活动

相关:Microsoft发布缓解DDE攻击的建议

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01