江苏
关键词
安全漏洞
近日,来自南亚的网络间谍组织 Bitter(APT-Q-37)被曝出针对高价值目标发起了一系列新型后门攻击。该组织长期从事敏感信息窃取,主要瞄准政府机构、电力系统和军事单位,活跃于中国、巴基斯坦等国家。根据奇安信威胁情报中心的分析,这些攻击意在在受害者计算机上部署单一的 C# 后门程序,并通过该程序远程下载和执行其他恶意软件,实现对目标系统的长期控制。
此次攻击采用了两种隐蔽手法。第一种是伪装会议文件的方式,攻击者发送名为 “Nominated Officials for the Conference.xlam” 的 Microsoft Office 文件,当受害者启用内置宏时,系统会显示“文件解析失败,内容损坏”的假错误提示,以迷惑用户。而宏在后台利用本地 .NET 框架工具生成 C# 后门程序 vlcplayer.dll,并通过脚本创建定时任务,确保后门在受害者系统中持续运行,同时连接远程服务器获取进一步指令。
第二种方式更加隐蔽,攻击者通过利用旧版 WinRAR 漏洞的压缩文件发起攻击。受害压缩包名为 “Provision of Information for Sectoral for AJK.rar”,其中包含看似无害的 Word 文件以及隐藏的模板文件 Normal.dotm。用户解压后,该漏洞允许恶意模板替换系统真实模板文件,当受害者打开任意 Word 文档时,程序加载被篡改模板,进而下载并执行最终后门程序 winnsc.exe,实现与第一种方式相同的危害。这两种攻击方式虽然载体不同,但最终部署的都是同一后门,并通过同一子域名 esanojinjasvc.com 的 C&C 服务器进行通信,表明均来自同一组织。
近日,来自南亚的网络间谍组织 Bitter(APT-Q-37)被曝出针对高价值目标发起了一系列新型后门攻击。该组织长期从事敏感信息窃取,主要瞄准政府机构、电力系统和军事单位,活跃于中国、巴基斯坦等国家。根据奇安信威胁情报中心的分析,这些攻击意在在受害者计算机上部署单一的 C# 后门程序,并通过该程序远程下载和执行其他恶意软件,实现对目标系统的长期控制。
此次攻击采用了两种隐蔽手法。第一种是伪装会议文件的方式,攻击者发送名为 “Nominated Officials for the Conference.xlam” 的 Microsoft Office 文件,当受害者启用内置宏时,系统会显示“文件解析失败,内容损坏”的假错误提示,以迷惑用户。而宏在后台利用本地 .NET 框架工具生成 C# 后门程序 vlcplayer.dll,并通过脚本创建定时任务,确保后门在受害者系统中持续运行,同时连接远程服务器获取进一步指令。
第二种方式更加隐蔽,攻击者通过利用旧版 WinRAR 漏洞的压缩文件发起攻击。受害压缩包名为 “Provision of Information for Sectoral for AJK.rar”,其中包含看似无害的 Word 文件以及隐藏的模板文件 Normal.dotm。用户解压后,该漏洞允许恶意模板替换系统真实模板文件,当受害者打开任意 Word 文档时,程序加载被篡改模板,进而下载并执行最终后门程序 winnsc.exe,实现与第一种方式相同的危害。这两种攻击方式虽然载体不同,但最终部署的都是同一后门,并通过同一子域名 esanojinjasvc.com 的 C&C 服务器进行通信,表明均来自同一组织。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
