由于惡意軟件，一個“完全無法檢測”的后門被曝光(在新標(biāo)簽中打開)經(jīng)營者的魯莽行為。SafeBreachLabs的網(wǎng)絡(luò)安全研究人員聲稱已經(jīng)檢測到一個全新的PowerShell后門，如果執(zhí)行得當(dāng)，攻擊者可以遠程訪問受感染的端點。從那里，攻擊者可以發(fā)起各種第二階段攻擊，從信息竊取者到勒索軟件(在新標(biāo)簽中打開)，以及介于兩者之間的一切。

根據(jù)該報告，一個未知的威脅參與者創(chuàng)建了一個名為“ApplyForm[.]docm”的武器化Word文檔。它帶有一個宏，如果激活，它會啟動一個未知的PowerShell腳本。

用腳本丟球

研究人員解釋說：“該宏會刪除updater.vbs，創(chuàng)建一個偽裝成Windows更新一部分的計劃任務(wù)，該任務(wù)將從'%appdata%\local\Microsoft\Windows下的虛假更新文件夾中執(zhí)行updater.vbs腳本”.

然后，Updater.vbs將運行一個PowerShell腳本，為攻擊者提供遠程訪問權(quán)限。

在運行計劃任務(wù)之前，惡意軟件會生成兩個PowerShell腳本-Script.ps1和Temp.ps1。內(nèi)容被隱藏并放置在Word文件內(nèi)的文本框中，然后保存在偽造的更新目錄中。這樣，防病毒解決方案無法將文件識別為惡意文件。

Script.ps1與命令和控制服務(wù)器聯(lián)系以分配受害者ID，并接收進一步的指令。然后，它運行存儲信息的Temp.ps1腳本并運行命令。

攻擊者所犯的錯誤是以可預(yù)測的順序發(fā)布受害者ID，從而允許研究人員監(jiān)聽與C2服務(wù)器的對話。

雖然這次攻擊的幕后黑手仍然是個謎，但惡意Word文檔是今年8月下旬從約旦上傳的，到目前為止已經(jīng)入侵了大約100臺設(shè)備，這些設(shè)備通常屬于尋找新就業(yè)機會的人。

TheRegister的一位讀者(在新標(biāo)簽中打開)描述了他們使用后門的經(jīng)驗，為希望減輕未知后門可能造成的損害的企業(yè)提供建議。

“我經(jīng)營一個MSP，我們在10月3日收到了警報?？蛻羰且粋€擁有330個席位的慈善機構(gòu)，直到今天早上我才將其鏈接到這篇具體的文章。”

“他們擁有零信任[ZT]和Ringfencing，因此盡管宏運行了，但它并沒有在Excel之外運行，”他們說。像這樣的東西。”

　　免責(zé)聲明：本文由用戶上傳，與本網(wǎng)站立場無關(guān)。財經(jīng)信息僅供讀者參考，并不構(gòu)成投資建議。投資者據(jù)此操作，風(fēng)險自擔(dān)。 如有侵權(quán)請聯(lián)系刪除！