研究发现针对日本、意大利、德国和英国等国家的工业组织发动的APT攻击,利用定制的网络钓鱼邮件传播恶意Office文档和PowerShell脚本。攻击者采用隐写术和异常消息作为解密密钥,使得恶意软件逃避检测。成功入侵后,安装Bebloh(Shiotob, URLZone)和Ursnif(Gozi, ISFB)银行木马。建议企业加强员工电子邮件安全意识,限制宏和PowerShell执行,以及保持防病毒软件的更新。"
126498467,10771175,近红外荧光染料Cy5.5与FITC标记糖的合成应用,"['生物化学', '荧光标记', '生物成像', '分子生物学', '糖化学']
有研究员发现了对不同国家/地区组织的一系列攻击。截至2020年5月上旬,日本,意大利,德国和英国已出现针对性的攻击案例。多达50%的攻击目标是各个工业部门的组织,攻击受害者包括工业企业的设备和软件供应商,攻击者使用恶意的Microsoft Office文档,PowerShell脚本以及各种使难以检测和分析恶意软件的技术。
网络钓鱼电子邮件(用作初始攻击媒介)是使用每个特定国家/地区的语言使用文本自定义的。仅当操作系统的本地化与网络钓鱼电子邮件中使用的语言匹配时,此攻击中使用的恶意软件才会继续运行。例如,在攻击在日本运营的公司的情况下,网络钓鱼电子邮件的文本和包含恶意宏的Microsoft Office文档都是用日语编写的。此外,要成功解密恶意软件模块,操作系统还必须具有日语本地化版本。
攻击成功后,会在受害者计算机上安装Bebloh家族(Shiotob,URLZone)和Ursnif家族(Gozi,ISFB)的银行木马。
0x01 技术分析
攻击者向受害者发送网络钓鱼电子邮件,奇热电子邮件中包含打开附件的紧急请求语句。
电子邮件附带的Excel文档包含恶意宏脚本(Trojan.MSExcel.Agent.be)。打开文档后,用户会看到一条消息,其中要求启用文档的活动内容。如果用户打开文档,则执行恶意宏文件。
宏文件的
最低0.47元/天 解锁文章
扫一扫
386
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
