近日,数字安全大脑检测到新一轮钓鱼攻击。
攻击者使用了“Invoice.rar”、“Salary Promotion List.rar”和“回复凭证电脑版”。
zip”等名称,通过即时通讯软件、电子邮件等方式传播远程控制木马,攻击目标为各类公司、企业、政府机构的财务人员,目前已监控和攻击的用户数以千计。
攻击者使用的发票页面模仿了常规的coremail页面,非常混乱,以其中一个捕获的木马为例,该木马以“Invoice.rar”的名称进行传播,压缩包中的文件包括Fa_Invoice.exe, cl32.dll、Fa_Invoice.data,这是一个典型的“白利用”木马,其中“发_ticket.exe”是文件管理器软件NexusFile的一个组件,是利用的“木马加载程序”。
木马加载器通过读取配置来执行加载器函数,加载器会从hxxp[:]//43..40.*:/7X/client.dll中下载远程控制组件并加载执行。
攻击者还使用VMProtect来保护cl32.dll。
通过分析client.dll,我们确认该远程控制为“开放云远程控制”。
其当前在线地址与加载器地址相同。
这种遥控器是处于开发阶段的“商业”遥控器,经常被使用。
作为攻击工具。
从“官方”介绍页面可以看出,该遥控器具有远程桌面控制、文件传输、远程语音视频监控、键盘记录等多种远程控制功能,可以实现对目标设备的远程监控和控制,以及盗窃和篡改。
用户的机密文件和数据。
下面的代码展示了远程控制提供的各种接口: 从钓鱼文件的命名我们可以知道,该钓鱼攻击的主要目标是企事业单位的财务人员。
企业管理人员应加强排查和防御,不要轻易公开未知的安全性文件。
另外,企业管理员可以根据IOC信息配置终端安全黑名单,查杀木马文件;同时,管理员可以在企业安全网关、防火墙、NDR设备中添加IOC黑名单,进行拦截查杀。
特洛伊木马。
值得注意的是,终端安全产品已立即查杀该木马。
正确安装并开启相关产品的用户无需担心。
系统会自动隔离并处理相关木马文件。
除了有针对性的安全防范外,数字安全建议政企用户建立完善的数字安全防御体系,正确安装安全防护软件,避免重要数据泄露造成不可挽回的损失。
作为数字安全领跑者,我们基于以“看”为核心的安全运营服务体系,打造了一整套数字安全防御解决方案。
从“云、管道、终端、地面、保险”五个维度出发,利用本地安全大脑、EDR、NDR等多种安全产品和服务,全面覆盖事前、事中、事后三个关键阶段帮助用户感知风险、洞察威胁、抵御攻击,实现多方位、全流程、系统化的勒索病毒防护。
未来,我们将持续深化安全防护,帮助政企机构构建系统化安全能力。