安全研究人员发现的俄国骇客组织Fancy Bear最近发动网钓攻击,其中利用微软Windows中的动态资料交换(Dynamic Data Exchange,DDE)协定,使Word文件不用巨集也可感染用户PC。
Fancy Bear又名APT28,是极为活跃的俄国骇客组织,曾经先后入侵美国民主党代表大会及世界反禁药组织窃取资料。近日安全公司趋势科技双双发现,Fancy Bear最近散布了一份宣称要发动纽约市恐怖攻击的Word文件IsisAttackInNewYork.docx,利用Microsoft动态资料交换(Dynamic Data Exchange, DDE)协定来感染用户PC。
用户如果在诱使下打开这份Word档案会发现内文是空的。但档案一经开启,Office产品中的DDE功能即呼叫PowerShell执行指令,连上外部C&C伺服器,载入名为Seduploader的恶意程式。该程式会搜集受害电脑的主机资讯回传给攻击者。如果该机器是攻击者有兴趣的目标,即会执行第二道PowerShell指令,安装X-Agent或Sedreco等后门程式。
趋势科技研究人员Ryan Sherstobitoff及Michael Rea表示,使用Office DDE攻击时,不论巨集是否启动,攻击者都能在受害系统中执行任意程式码,这也是Fancy Bear/APT 28首次被发现使用到这种过去较不为人知的攻击手法。
但这并不是DDE第一次遭到骇客滥用。上个月思科(Cisco)旗下的资安团队Talos也发现一则假冒美国证券交易委员会(SEC)的网钓邮件中,骇客也是利用DDE协定来散布恶意程式。同月Word DDE协定攻击也被发现用来散布Locky勒索软体。
11 月 12 日消息,网络安全公司 Avira 研究人员近期发现勒索软件Locky出现新型变种,不仅可以通过僵尸网络 Necurs 开展大规模钓鱼攻击活动,还可利用动态数据交换(DDE)协议进行数据传输,从而规避安全软件检测的同时窃取用户重要信息。
研究人员表示,该脚本内容清晰、极易阅读,其目的是从脚本嵌入的链接中下载另一个 PowerShell 脚本并通过 Invoke-Expression 函数运行。然而,第二个脚本所连接的服务器由黑客控制,并在下载该脚本时自动运行一份 Windows 可执行文件,其中包含多个阶段的混淆代码,以致诱导用户认为这是一个安全的文件。目前,研究人员认为勒索软件 Locky 的快速演变在当今的威胁领域中着实令人担忧,因为它还将继续进行深度 “优化”,从而感染更多设备。
END
标签