本文主要是介绍关于MULTI#STORM活动利用远程访问木马瞄准印度和美国的动态情报,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
一、基本内容
于2023年6月22日,一款代号为MULTI#STORM的新网络钓鱼活动将目标瞄准了印度和美国,利用JavaScript文件在受感染的系统上传播远程访问木马。
二、相关发声情况
Securonix的研究人员Den luzvyk、Tim Peck和Oleg Kolesnikov发表声明称,这次攻击链以受害机器感染多个独特的远程访问木马(RAT)恶意软件实例结束,包括Warzone RAT和Quasar RAT。这些恶意软件用于感染攻击链不同阶段的命令和控制。攻击链开始于电子邮件收件人单击指向Microsoft OneDrive上托管的受密码保护的ZIP文件(“REQUEST.zip”)的嵌入链接(密码为“123456”)。当提取存档文件时,会发现一个严重混淆的JavaScript文件(“REQUEST.js”),双击该文件时,会通过执行两个PowerShell命令来激活感染。这两个命令负责从OneDrive检索两个单独的有效负载并执行它们。这两个文件的第一个是向受害者显示的诱惑PDF文档,而第二个文件是基于Python的可执行文件,在后台秘密进行。该二进制文件充当释放器,以Base64编码字符串(“Storm.exe”)的形式提取并运行其中包含的主要有效负载,但不是在通过Windows注册表修改设置持久性之前进行。二进制文件还解码了第二个ZIP文件(“files.zip”),其中包含四个不同的文件,每个文件都旨在绕过用户账户控制(UAC)并通过创建模拟可信目录来升级权限。这些文件中有一个批处理文件(“check.bat”),Securonix表示该文件与另一个名为DBatLoader的加载程序有一个共同点,尽管所使用的编程语言有所不同。名为“KDECO.bat”的第二个文件执行PowerShell命令来指示Microsoft Defender添加防病毒排除规则以跳过“C:\Users”目录。随着Warzone RAT(又名Ave Maria)的部署,攻击达到了最高峰,这是一种现成的恶意软件,每月售价38美元,并提供了收集敏感数据和下载其他恶意软件(例如Quasar RAT)的详尽功能列表。
其他研究人员指出,对于网络钓鱼电子邮件,尤其是在强调紧迫感的情况下,保持格外警惕非常重要。这种特殊的诱惑通常并不引人注目,因为它需要用户直接执行JavaScript文件。快捷方式文件或者使用双扩展名的文件可能会有更高的成功率。
三、分析研判
在这个案件中,网络攻击团队使用远程木马病毒对受害方进行了网络攻击。在日常的网络安全防护中,我们需要时刻警惕此类病毒的入侵。远程木马病毒是一种恶意软件,可以通过互联网远程控制受感染计算机,从而造成以下危害:
1. 窃取个人信息:远程木马病毒可以窃取用户的个人信息,如登录名、密码、信用卡信息等,从而导致用户的财产损失和个人隐私泄露。
2. 破坏系统:远程木马病毒可以修改、删除或破坏系统文件和数据,导致系统崩溃、无法启动或无法正常运行。
3. 恶意攻击:远程木马病毒可以利用受感染计算机进行恶意攻击,如DDoS攻击、钓鱼攻击等,从而影响网络安全和稳定。
4. 植入其他恶意软件:远程木马病毒可以植入其他恶意软件,如广告软件、间谍软件等,从而进一步危害用户的计算机和个人信息安全。
5. 控制计算机:远程木马病毒可以远程控制受感染计算机,从而进行非法活动,如发送垃圾邮件、进行网络诈骗等。
四、应对策略
在面对远程木马病毒攻击的时候,我们可以采取以下措施来应对:
1. 及时更新防病毒软件:保持防病毒软件的最新版本,及时更新病毒库,以便及时发现和清除木马病毒。
2. 加强网络安全防护:加强网络安全防护,包括加强网络防火墙、加密数据传输、限制远程访问等。
3. 定期备份数据:定期备份重要数据,以防数据丢失或被病毒攻击。
4. 提高安全意识:提高员工的安全意识,加强对网络安全的培训和教育,避免点击不明链接或下载不明文件。
5. 及时处理异常情况:及时发现和处理异常情况,如发现电脑运行缓慢、弹出广告等异常情况,应立即进行检查和处理。
6. 密码安全:加强密码安全,定期更换密码,避免使用简单密码或相同密码。
7. 安装补丁:及时安装操作系统和软件的安全补丁,以修复漏洞,提高系统安全性。
8. 使用安全浏览器:使用安全浏览器,如Chrome、Firefox等,避免使用IE等容易受到攻击的浏览器。
9. 避免使用不安全的公共WiFi:避免使用不安全的公共WiFi,以免被黑客攻击。
10. 安装安全插件:安装安全插件,如AdBlock、NoScript等,可以防止恶意广告和脚本攻击。
11. 使用虚拟机:使用虚拟机可以隔离病毒,防止病毒感染主机系统。
12. 及时更新操作系统:及时更新操作系统,以修复漏洞,提高系统安全性。
13. 使用加密通信工具:使用加密通信工具,如VPN、SSH等,可以保护数据传输的安全性。
14. 安装防火墙:安装防火墙,可以阻止未经授权的访问和攻击。
15. 定期检查系统安全性:定期检查系统安全性,如端口扫描、漏洞扫描等,及时发现和修复安全漏洞。
这篇关于关于MULTI#STORM活动利用远程访问木马瞄准印度和美国的动态情报的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
