IT 之家 3 月 20 日消息,以色列網絡安全公司 Perception Point 近日發布報告,公布了關于 " 幻藍行動 "(Operation PhantomBlu)的最新追蹤調查報告。
" 幻藍行動 " 是指近期針對美國企業的網絡釣魚活動,黑客制作攜帶有 NetSupport RAT 木馬的微軟 Office 文件,并通過郵件方式分發,吸引用戶點擊打開,從而遠程竊取敏感數據。
NetSupport RAT 源自合法的遠程桌面工具 NetSupport Manager,是一種惡意軟件,網絡犯罪分子通常利用該工具,在已經被入侵的終端上搜刮各種數據。
黑客首先會制作一封以工資爲主題的釣魚郵件,看起來像是由會計團隊發送的。它要求收件人打開所附的 Microsoft Word 文檔,查看每月工資報告。
安全團隊檢查電子郵件标題(主要是 Return-Path 和 Message-ID 字段)後發現,黑客使用了一個名爲 Brevo(以前稱爲 Sendinblue)的有效電子郵件營銷平台來發送電子郵件。
受害者打開 Word 文檔時,系統會要求他們輸入電子郵件正文中提到的密碼并啓用編輯功能。然後,他們雙擊文檔中嵌入的打印機圖标,查看工資圖表。
後續該文件會解壓名爲 Chart20072007.zip 的 ZIP 壓縮文件,其中包含一個 Windows 快捷方式文件,該文件可用作 PowerShell 驅動器,從遠程服務器檢索并執行 NetSupport RAT 安裝文件。
PhantomBlu 使用加密的 .doc 文件,通過 OLE 模闆和模闆注入的方式發送 NetSupport RAT,這标志着 PhantomBlu 與通常與 NetSupport RAT 部署相關的傳統 TTP 的不同,并添加了更新的技術,展示了 PhantomBlu 在将複雜的規避策略與社交工程相結合方面的創新。
IT 之家附上參考地址
