" /> 足球场草
首页 > 热点资讯 > 影视快讯

ExileRat通过恶意PowerPoint文档攻击西藏支持者

影视快讯 2019-02-05 13:20:54
新兴软件园
  一项针对亲藏支持者的有针对性攻击被发现通过恶意PowerPoint附件安装ExileRat远程访问木马。一旦感染,老鼠将允许攻击者检索信息,执行命令,并从感染的计算机窃取数据。
  
  思科塔洛斯集团(Cisco Talos Group)发布的一项新研究发现,一场针对西藏自治区中央邮政署(Central Tibetan Administration, CTA)邮件列表的malspam攻击活动。CTA是西藏流亡政府考虑的组织,该组织使用这个邮件列表与他们的支持者进行沟通。
  
  这种攻击是通过向伪装来自CTA的CTA邮件列表发送电子邮件发起的。这封电子邮件的主题是“西藏从来就不是中国的一部分”,其中包含一份PowerPoint文档,讨论了西藏从来就不是中国的一部分。
  
  思科表示,邮件列表中的每个人都收到了邮件,攻击者修改了回复头,这样攻击者就可以收到对邮件的任何回复。
  
  “CTA邮件列表上的每个人都收到了这封邮件,”思科塔洛斯集团(Cisco Talos Group)的研究报告称。邮件列表的基础设施已经用完了DearMail,这是一家印度公司,自称是“强大的云支持的基于web的邮件活动经理”。攻击者修改了CTA邮件通常使用的标准回复头,这样任何回复都会被定向回攻击者的电子邮件地址:mediabureauin [at] gmail.com。
  
  CTA的网站上有一份同样名称和内容的PowerPoint演示文稿,但这封邮件的附件已被修改,以利用收件人电脑上的漏洞。一旦打开附件,就会显示显示,并使用Microsoft office (CVE-2017-0199)中的任意代码执行漏洞从远程服务器检索并执行JScript脚本。
  
  下面所示的JScript脚本将下载一个名为syshost的文件。exe从服务器27.126.188.212,保存到%AppData%\syshost。,并执行该文件。syshost之后。在执行exe时,将创建一个名为discoverstic_system_host的调度任务,该任务为RAT启用持久性,以便在每次用户登录时启动它。正如Cisco所述,这个调度任务使用与合法的Windows服务相似的名称,称为诊断系统主机,以逃避检测。
  
  一旦syshost。exe启动,它将连接到iplocation.com以确定受害者的公共IP地址和地理位置。然后将这个站点返回的数据写入一个名为c: data.ini的文件中。
  
  研究人员称,老鼠随后会收集其他信息,如正在运行的进程、计算机名、用户名、网络适配器信息、驱动器信息,并将其上传到攻击者的命令与控制服务器。这种恶意软件还可以执行攻击者发出的命令,从受害者那里窃取文件。
  
  目前还不清楚攻击者正在清除哪些文件。
  
  C2的IP地址在以前攻击亲西藏用户时使用过
  
  思科表示,ExileRate命令与控制服务器的IP地址也被另一个名为LuckyCat Android RAT的恶意软件利用。
  
  这个恶意软件的攻击目标还包括支持西藏的支持者和活动人士,安装后可以执行命令、执行位置跟踪、记录通话和窃取短信。
  
  虽然来自中国的国家支持的攻击可能是一个合理的猜测,但目前没有已知证据表明情况确实如此。

 
Fake CTA Email to the CTA Mailing List

责任编辑:1130437022

新兴软件园
后台-系统设置-扩展变量-手机广告位-评论底部广告位

新兴软件园

http://www.szwipd.com.cn/

| 鲁ICP备16003224号

Powered By 新兴软件园 助力科技前沿

使用手机软件扫描微信二维码

商标及图像版权归合法持有人

非商务用请理性宽容换位思考

分享按钮 足球比分90vs足球