病毒木马无孔不入,如今连PPT也难逃“魔掌”。日前,腾讯安全威胁情报中心检测到多个企业受到以PPT文档为诱饵的钓鱼邮件攻击。经分析发现,该攻击由黑产组织发起,被投递的PPT文档中均包含恶意宏代码,用户一旦打开就会启动恶意程序下载窃密木马,导致账号密码丢失、信息泄漏等严重后果。腾讯安全提醒企业及个人用户提高警惕、注意防护。

此次事件的初始攻击以PPT文档为诱饵,文件名包括“SHN FOODS ORDER.ppt”、“.ppt”、“ .ppt”、“.ppt”、“.ppt”等,邮件主题以订单、付款收据、分析报告为主,如 、.ppt等。据腾讯安全相关专家介绍,此次攻击的最大特点是恶意代码保存在托管平台上,主要包括VBS脚本、编码的脚本以及经过混淆的二进制数据。由于是第三方网站,同时攻击者在执行代码中加入了一些字符反转和字符连接操作,较容易逃避安全检测。

[MD:Title]

以订单、付款收据、分析报告为主题的攻击邮件

在攻击事件中,一旦用户点击运行含有恶意代码的PPT,宏代码就会启动mshta执行保存在上的远程脚本代码。在后续阶段,攻击者会通过计划任务下载RAT木马,然后将其注入指定进程执行,RAT会不定期更换。从当前捕获到的样本来看主要为窃密木马,用户被感染后,攻击者将能获取受害机器上的各类账号密码,如电子邮件帐户、通信软件、Web 、浏览器历史记录和加密货币钱包等,同时还能上载和下载文件、进行截屏操作,危害极大。

腾讯安全通过对攻击活动详细分析发现,此次攻击者注册的账号””与另一个账号“hagga”对应攻击事件中使用的TTP高度相似,基本可以断定两者属于同一家族。同时,基于高水平的TTP技术,专家认为此次攻击与 Group黑产组织有关。此前,该组织已对包括英国、西班牙、俄罗斯和美国在内的多个政府组织进行针对性攻击,影响广泛。

[MD:Title]

攻击流程

腾讯安全专家指出, Group为专业的黑客组织,擅长攻击大型企业、行业及有政府背景的机构组织,一旦攻陷系统危害极大,因此建议企业采用安全厂商的专业解决方案提升系统安全性,防止黑客组织攻击。

腾讯安全针对组织的各类攻击手段构建了涵盖威胁情报、边界防护、终端保护在内的立体防御体系,打造发现威胁、分析威胁、处置威胁的安全闭环。在威胁情报方面, T-Sec威胁情报云查服务、T-Sec高级威胁追溯系统已支持 组织的相关信息和情报,可智能感知识别安全威胁,追溯网络入侵源头。在边界防护上,云防火墙已同步支持 Group相关联的IOCs识别和拦截,同时T-Sec高级威胁检测系统可基于网络流量进行威胁检测,及时发现安全风险。在终端安全上,T-Sec主机安全、T-Sec终端安全管理系统能实现对云上终端和企业终端的防毒杀毒、防入侵、漏洞管理和基线管理,目前已支持查杀 Group组织释放的后门木马程序、恶意宏代码,拦截执行恶意脚本等。对于个人用户,腾讯电脑管家也已支持对 Group黑产团伙传播病毒木马的查杀,用户可予以安装,加强防护。

[MD:Title]

腾讯安全解决方案部署示意图

———END———
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,永久会员只需109元,全站资源免费下载 点击查看详情
站 长 微 信: nanadh666

声明:1、本内容转载于网络,版权归原作者所有!2、本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。3、本内容若侵犯到你的版权利益,请联系我们,会尽快给予删除处理!