网络信息安全企业趋势科技(Trend Micro)发觉了名字叫做Confucius的互联网团伙犯罪近期开展的故意主题活动。网络黑客们运用灭绝人性的非洲Pegasus(天马恶意程序)鱼饵进行了一场钓鱼主题活动,蒙骗客户立即下载数据信息偷盗编码的虚假文档。
进攻以一封整洁的电子邮件逐渐,在其中包括从塔吉克斯坦合理合法报刊文章内容中拷贝的文本。二天后,受害者接到一封新的电子邮件,在其中包括假冒塔吉克斯坦国防部高官有关PegASUS恶意程序的警示,主要包括一个cutt.ly连接到数据加密的Word文档和一个破译登陆密码。
无论受害者采用哪些行为,点一下在其中任意一个连接都是会免费下载Word文档。假如总体目标角色键入了电子邮件中的登陆密码,电脑显示屏上就会发生一个含有宏的文档。假如该特殊设备上开启了宏,下一步便是简洁地载入恶意程序。一个名叫skfk.txt的.NET DLL文件就会在临时性文件目录中被建立,该文件包括文档注解栏的原材料。PowerShell被用于将该文件载入到运存中,并用以盗取数据信息。
简易地说,当列举的后缀名的MD5哈希值配对时,该文件就会根据C&C网络服务器被查找出去。沒有列举的资料被保留到同一C&C网络服务器的不一样文件夹名称,应用设备名相匹配登录名字符串数组。
“Confucius”互联网团伙犯罪以往曾应用好多个文档盗取专用工具对塔吉克斯坦部队开展互联网特工进攻。开发人员在建立故意文档时应用技术创新,在其中一些技术性包含应用加密文件来避免全自动剖析,或将有危害编码掩藏在评价一部分。
