盗墓笔记小说txt下载,完美世界有声小说全集

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

BazarLoader惡意軟件在使用Slack、BaseCamp云服務(wù)進(jìn)行攻擊

研究人員表示，BazarLoader惡意軟件正在利用企業(yè)員工對(duì)Slack和BaseCamp等協(xié)作工具的信任，在電子郵件中加入惡意軟件有效載荷的鏈接進(jìn)行攻擊。

我們提供的服務(wù)有：成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)、微信公眾號(hào)開(kāi)發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、金平ssl等。為上千余家企事業(yè)單位解決了網(wǎng)站和推廣的問(wèn)題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的金平網(wǎng)站制作公司

而在針對(duì)員工的第二次攻擊活動(dòng)中，攻擊者在攻擊鏈中加入了語(yǔ)音呼叫元素。

BazarLoader下載器是用C++編寫(xiě)的，主要功能是下載和執(zhí)行特定的模塊。去年4月，BazarLoader首次在互聯(lián)網(wǎng)上被觀察到。自那時(shí)起，研究人員就已經(jīng)觀察到了至少六個(gè)變種，這意味著該工具一直在保持更新。

最近，它作為勒索軟件的中轉(zhuǎn)惡意軟件而引人關(guān)注，特別是Ryuk病毒。

根據(jù)Sophos周四發(fā)布的警告，BazarLoader主要針對(duì)大型企業(yè)進(jìn)行攻擊，很可能會(huì)在將來(lái)用來(lái)發(fā)動(dòng)勒索軟件攻擊。

網(wǎng)絡(luò)攻擊者使用Slack和BaseCamp

根據(jù)Sophos的研究人員的說(shuō)法，在發(fā)現(xiàn)的第一個(gè)攻擊活動(dòng)中，攻擊者正在針對(duì)大型組織的員工進(jìn)行攻擊，電子郵件內(nèi)容稱會(huì)提供與合同、客戶服務(wù)、發(fā)票或工資單有關(guān)的重要信息。

Sophos稱，"一個(gè)垃圾郵件樣本甚至?xí)噲D偽裝成員工被裁的通知"。

郵件內(nèi)的鏈接托管在Slack或BaseCamp云存儲(chǔ)服務(wù)器上，這意味著如果目標(biāo)在使用這些平臺(tái)進(jìn)行工作，它們就會(huì)看起來(lái)是合法的。在這個(gè)遠(yuǎn)程辦公的時(shí)代，員工被攻擊的幾率是很大的。

研究人員說(shuō)："攻擊者在文檔正文中會(huì)突出顯示指向這些合法網(wǎng)站的URL，這樣會(huì)很容易使用戶信以為真，然后，該URL可能會(huì)通過(guò)使用短鏈接服務(wù)做進(jìn)一步的處理，使這個(gè)指向帶有.EXE擴(kuò)展名的文件的鏈接不引人懷疑。"

如果目標(biāo)點(diǎn)擊了鏈接，BazarLoader就會(huì)下載并在受害者的機(jī)器上執(zhí)行。這些鏈接通常會(huì)直接指向到一個(gè)帶有數(shù)字簽名的可執(zhí)行文件，其圖標(biāo)為Adobe PDF圖形。研究人員指出，惡意文件的名稱通常為presentation-document.exe、preview-document-[number].exe或annualreport.exe。

這些可執(zhí)行文件在運(yùn)行時(shí)，會(huì)將一個(gè)DLL有效載荷注入到一個(gè)合法進(jìn)程中，比如Windows的powershell，cmd.exe等。

研究人員解釋說(shuō)："該惡意軟件只會(huì)在內(nèi)存中運(yùn)行，無(wú)法被終端上的保護(hù)工具在對(duì)文件系統(tǒng)的掃描時(shí)檢測(cè)到，因?yàn)樗鼜奈幢粚?xiě)入到文件系統(tǒng)中，文件本身甚至?xí)皇褂煤戏ǖ?DLL文件后綴，因?yàn)椴还芩鼈兪欠裼泻缶Y;操作系統(tǒng)都會(huì)運(yùn)行這些文件。"

BazarCall 攻擊活動(dòng)

在第二次攻擊活動(dòng)中，Sophos發(fā)現(xiàn)這些垃圾郵件沒(méi)有任何可疑之處：郵件正文中沒(méi)有提到任何形式的個(gè)人信息，也沒(méi)有鏈接和文件附件。

研究人員解釋說(shuō)："所有的內(nèi)容都會(huì)聲稱收件人目前正在使用的網(wǎng)絡(luò)服務(wù)的免費(fèi)試用期將在接下來(lái)的一兩天內(nèi)到期，并在郵件中嵌入了一個(gè)收件人需要撥打的電話號(hào)碼，用戶可以選擇是否繼續(xù)進(jìn)行續(xù)費(fèi)"

如果目標(biāo)決定撥打電話，另一邊的客服會(huì)給他們一個(gè)網(wǎng)站地址，聲稱受害者可以在那里取消該服務(wù)的訂閱。

根據(jù)Sophos的說(shuō)法，這些設(shè)計(jì)精美、外觀很正式的網(wǎng)站在常見(jiàn)問(wèn)題的頁(yè)面中設(shè)置了一個(gè)退訂按鈕，點(diǎn)擊該按鈕網(wǎng)站就會(huì)提供一個(gè)惡意的Office文檔(Word文檔或Excel電子表格)，打開(kāi)后會(huì)用同樣的BazarLoader惡意軟件感染用戶的計(jì)算機(jī)。

這些信息聲稱是來(lái)自一家名為 "醫(yī)療提醒服務(wù)"(Medical Reminder Service)的公司，并在信息的正文中包含了一個(gè)電話號(hào)碼，和一個(gè)位于洛杉磯的辦公樓的街道地址。但在4月中旬，一個(gè)名為BookPoint的虛假的在線付費(fèi)借閱圖書(shū)館也在使用這些信息進(jìn)行攻擊。

在BookPoint的攻擊中還使用了一串長(zhǎng)長(zhǎng)的數(shù)字代碼，要求用戶輸入該數(shù)字代碼就可以 "取消訂閱"。

就感染的套路而言，這些所謂的 "BazarCall "攻擊活動(dòng)中的攻擊者都會(huì)使用惡意的微軟Office文檔，這些文檔會(huì)使用命令來(lái)投放和執(zhí)行一個(gè)或多個(gè)DLL有效載荷。

和Trickbot有聯(lián)系?

研究人員一直在懷疑BazarLoader可能與TrickBot的操作者有關(guān)或者是由TrickBot操作者編寫(xiě)的。TrickBot是另外一種經(jīng)常用于勒索軟件攻擊的一級(jí)加載器惡意軟件。

Sophos研究了其中的聯(lián)系，發(fā)現(xiàn)這兩種惡意軟件都使用了一些相同的基礎(chǔ)設(shè)施來(lái)進(jìn)行攻擊和控制。

根據(jù)發(fā)布的信息稱："我們可以看出，在實(shí)驗(yàn)室網(wǎng)絡(luò)中運(yùn)行的BazarLoader惡意軟件與TrickBot沒(méi)有相似之處，但它們確實(shí)在和一個(gè)IP地址進(jìn)行通信，而這個(gè)IP地址在歷史上一直被兩個(gè)惡意軟件家族共同使用。當(dāng)然，過(guò)去也有很多人研究過(guò)這種聯(lián)系。"

研究人員補(bǔ)充說(shuō)，無(wú)論如何，BazarLoader似乎還處于發(fā)展的早期階段，并不像TrickBot等這樣更成熟的家族那樣復(fù)雜。

他們說(shuō)："例如，雖然早期版本的惡意軟件沒(méi)有被混淆加密，但最近發(fā)現(xiàn)的樣本可能會(huì)加密用于攻擊的字符串"

本文翻譯自：https://threatpost.com/bazarloader-malware-slack-basecamp/165455/

當(dāng)前名稱：BazarLoader惡意軟件在使用Slack、BaseCamp云服務(wù)進(jìn)行攻擊
當(dāng)前地址：http://m.fisionsoft.com.cn/article/cddppos.html

新聞中心

網(wǎng)絡(luò)攻擊者使用Slack和BaseCamp

BazarCall 攻擊活動(dòng)

和Trickbot有聯(lián)系?

其他資訊