技術支援
文件
登錄
聯繫我們
新聞企鵝網路釣魚攻擊針對海上和軍事機密
奧班拉·奧佩耶米
實施期間: 2023年2月24 日 - TuxCare專家團隊
據黑莓研究人員稱,一個名為“NewsPenguin”的新網络釣魚活動幾個月來一直針對巴基斯坦的軍工聯合體,使用先進的惡意軟體工具來竊取敏感資訊。該活動被認為是國家贊助的,至少自 2022 年 12 月以來一直在進行。
“攻擊者發送了有針對性的網络釣魚電子郵件,並附有一份武器化檔,據稱是PIMEC-23的參展商手冊,”黑莓研究和情報團隊說。
PIMEC代表巴基斯坦國際海事博覽會和會議,是由海事部組織的一項巴基斯坦海軍倡議,其目標是“快速啟動海事部門的發展”。該運動似乎更關心收集情報和洩露資訊,而不是對受害者造成直接傷害。
該活動採用複雜的工具集,旨在避免被傳統安全措施檢測。該工具集中的惡意軟體和遠端訪問木馬 (RAT) 用於訪問受害者的系統並竊取敏感數據。Newspenguin用於逃避檢測的各種技術,例如使用加密的有效載荷和動態生成用於命令和控制(C2)通信的域。
攻擊者使用了來自「Zodiac」系列的惡意軟體,該系列以其避免被防病毒軟體檢測到的能力而聞名。此外,攻擊者還使用了用於竊取敏感資訊的鍵盤記錄器“IceLog”和“Gh0stRAT”,這是一種遠端訪問工具,允許攻擊者控制受害者的系統。攻擊者還使用了Glacier惡意軟體,該惡意軟體旨在避免被傳統的防病毒解決方案檢測到。
黑莓研究人員認為,Newspenguin正在使用一種名為“PenguSpy”的新惡意軟體。該惡意軟體旨在避免檢測並從受感染的系統收集情報,包括密碼盜竊和螢幕截圖捕獲。
它包括一個使用遠端範本注入技術的「重要文檔.doc」文檔。當目標打開它時,它會從 hxxp[:]/windowsupdates[.] 中檢索下一階段的示例。購買/測試[。點。當我們發現它時,域已解析為 51.222.103[.]。8. 惡意負載伺服器配置為僅在使用者的IP位址在巴基斯坦IP範圍內時才返回檔。當受害者按兩下啟用內容時,將執行VBA宏代碼。惡意VBA宏代碼將「test.dotx」檔保存為「abc.wsf」在使用者的「C:WindowsTasks」資料夾中。
然後,該腳本確定受感染的計算機運行的是 Windows® 7 還是 10,並將版本保存為作業名稱以供下一條指令使用。
這篇文章的來源包括 DarkReading上的一篇文章。
在我們的Youtube頻道上觀看此新聞:https://www.youtube.com/watch?v=ycO6hVmt5R4&t=6s
