Kraken 无文件APT攻击乱用Windows错误报告服务
发布时间:2022-08-04 10:54:15 所属栏目:安全 来源:互联网
导读:WER 服务(WerFault.exe)一般是在有与操作系统、Windows特征、和应用程序相关的错误产生时才会被调用。当受害者看到WerFault.exe 运行时,会认为有错误产生,实际上在本次攻击事件中是被攻击了。 9月17日,研究人员发现一起利用鱼叉式钓鱼攻击来传播含有恶
|
WER 服务(WerFault.exe)一般是在有与操作系统、Windows特征、和应用程序相关的错误产生时才会被调用。当受害者看到WerFault.exe 运行时,会认为有错误产生,实际上在本次攻击事件中是被攻击了。 9月17日,研究人员发现一起利用鱼叉式钓鱼攻击来传播含有恶意文档的zip文件的攻击活动。恶意文件“Compensation manual.doc” 伪装成含有关于员工赔偿的文档: yourrighttocompensation 网站域名是2020年6月5日注册的,文档的创建时间为2020年6月12日。这表明这是同一攻击的2个部分。事实上,研究人员还发现了一个恶意宏,恶意宏使用修改的CactusTorch VBA模块来执行shellcode。CactusTorch 使用DotNetToJscript 技术来加载.NET 编译的二进制文件到内存中,并从vbscript 执行。 图4就是攻击者使用的宏内容,有AutoOpen(自动打开)和 AutoClose(自动关闭)函数。AutoOpen 负责显示错误消息,而AutoClose 负责执行主要活动。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号