安全研究人員發現的俄國駭客組織Fancy Bear最近發動網釣攻擊,其中利用微軟Windows中的動態資料交換(Dynamic Data Exchange,DDE)協定,使Word文件不用巨集也可感染用戶PC。
Fancy Bear又名APT28,是極為活躍的俄國駭客組織,曾經先後入侵美國民主黨代表大會及世界反禁藥組織竊取資料。近日安全公司趨勢科技雙雙發現,Fancy Bear最近散佈宣稱包含近日紐約市恐怖攻擊的Word文件IsisAttackInNewYork.docx,利用Microsoft 動態資料交換(Dynamic Data Exchange, DDE)協定來感染用戶PC。
用戶如果在誘使下打開這份Word檔案會發現內文是空的。但檔案一經開啟,Office產品中的DDE功能即呼叫PowerShell執行指令,連上外部C&C伺服器,載入名為Seduploader的惡意程式。該程式會蒐集受害電腦的主機資訊回傳給攻擊者。如果該機器是攻擊者有興趣的目標,即會執行第二道PowerShell指令,安裝X-Agent或Sedreco等後門程式。
趨勢科技研究人員Ryan Sherstobitoff及Michael Rea表示,使用Office DDE攻擊時,不論巨集是否啟動,攻擊者都能在受害系統中執行任意程式碼,這也是Fancy Bear/APT 28首次被發現使用到這種過去較不為人知的攻擊手法。
但這並不是DDE第一次遭到駭客濫用。上個月思科(Cisco)旗下的資安團隊Talos 也發現一則假冒美國證券交易委員會(SEC)的網釣郵件中,駭客也是利用DDE協定來散布惡意程式。同月Word DDE協定攻擊也被發現用來散佈Locky勒索軟體。
from iThome 新聞 http://ift.tt/2AAPQwC
運動彩券 | 最高返水0.98精彩運動MLB、NBA比賽、直播
六合彩球 | 香港六合彩、大樂透、威力彩、今彩539
真人娛樂場 | 百家樂、德州撲克、麻將遊戲、21點、13支
電子遊戲 | 水果盤、捕魚達人千炮版、骰寶、輪盤
黃金期權 | 全新開放 、 股市 、 黃金 、 外幣
百鬼夜行 | 30線、4500倍、拉霸、五鬼運財
沒有留言:
張貼留言