攻击者利用OpenDocument Format(ODF)的恶意文件针对拉丁美洲的旅游及旅馆组织进行电子邮件攻击,通过启用巨集的Office文件和PowerShell脚本传播njRAT和AsyncRAT。防御策略包括采用CDR技术进行文件清洗,防止恶意软件规避传统防病毒扫描,并结合沙箱技术进行动态分析,以提升电子邮件安全防护。
Cisco Talos 先前观察到一组针对拉丁美洲国家的新型态的电子邮件攻击活动,攻击者利用开放文件格式(Open Document Format,简称ODF)的恶意软体进行攻击,这些活动使用大量感染组件来传播两种广受欢迎的套装恶意软体和远端访问木马工具 (RAT):njRAT 和 AsyncRAT。其攻击行为针对拉丁美洲的旅游及旅馆组织。也发现到基于 .NET 的感染链产生器/二进制文件加密器,用于生成近期活动中使用的恶意感染组件,包括针对拉丁美洲的攻击。此类产生器表明作者打算捆绑恶意软体进行攻击,以便运营商、客户和附属机构轻松部署和利用。
这些活动包括启用巨集的 Office 文件,这些文件充当感染的切入点。接下来是 PowerShell 和 VB 脚本的模组链,所有这些都致力于禁用AMSI等防病毒保护功能并最终交付 RAT 有效负载。
此外HP Wolf Security也在后续侦测到相关的行为,攻击者利用OpenDocument的格式伪装与旅馆联系的相关文件,诱使攻击目标的人员点选相关附件并进行附载的交付,进而利用PowerShell和VB Script来进行相关攻击。
图片来源:HP Wolf Security
最低0.47元/天 解锁文章
1774
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
