根据该报告,一个未知的威胁参与者创建了一个名为“ApplyForm[.]docm”的武器化Word文档。它带有一个宏,如果激活,它会启动一个未知的PowerShell脚本。
用脚本丢球
研究人员解释说:“该宏会删除updater.vbs,创建一个伪装成Windows更新一部分的计划任务,该任务将从'%appdata%\local\Microsoft\Windows下的虚假更新文件夹中执行updater.vbs脚本”.
然后,Updater.vbs将运行一个PowerShell脚本,为攻击者提供远程访问权限。
在运行计划任务之前,恶意软件会生成两个PowerShell脚本-Script.ps1和Temp.ps1。内容被隐藏并放置在Word文件内的文本框中,然后保存在伪造的更新目录中。这样,防病毒解决方案无法将文件识别为恶意文件。
Script.ps1与命令和控制服务器联系以分配受害者ID,并接收进一步的指令。然后,它运行存储信息的Temp.ps1脚本并运行命令。
攻击者所犯的错误是以可预测的顺序发布受害者ID,从而允许研究人员监听与C2服务器的对话。
虽然这次攻击的幕后黑手仍然是个谜,但恶意Word文档是今年8月下旬从约旦上传的,到目前为止已经入侵了大约100台设备,这些设备通常属于寻找新就业机会的人。
TheRegister的一位读者(在新标签中打开)描述了他们使用后门的经验,为希望减轻未知后门可能造成的损害的企业提供建议。
“我经营一个MSP,我们在10月3日收到了警报。客户是一个拥有330个席位的慈善机构,直到今天早上我才将其链接到这篇具体的文章。”
“他们拥有零信任[ZT]和Ringfencing,因此尽管宏运行了,但它并没有在Excel之外运行,”他们说。像这样的东西。” 返回作文素材列表