資安業者BlackBerry揭露發生於去年底的攻擊行動,出於經濟動機的駭客組織FIN7鎖定一家美國大型汽車製造商,對其IT部門具有高權限的員工發送釣魚郵件,進行魚叉式釣魚攻擊。

收信人一旦依照對方指示點選連結,就會被帶往冒牌的公用程式Advanced IP Scanner網站,若是想要下載應用程式點選連結,就會存取Dropbox頁面。若是下載、執行安裝程式WsTaskLoad.exe,電腦就會進行一連串的流程,先載入程式庫jutil.dll解密特定的WAV聲音檔,得到Shell Code並載入mspdf.dll元件執行,並再次解析前述WAV檔案,最終得到後門程式Anunak。過程中攻擊者使用經混淆處理的PowerShell指令碼PowerTrash,以便偵察主機系統及網路資訊。

附帶一提的是,駭客使用OpenSSH企圖持續於受害電腦從事行動,研究人員看到對方OpenSSH被排入工作任務,而且受害電腦的防火牆特定連接埠被開啟。雖然這些駭客曾利用OpenSSH進行橫向移動,不過這次他們似乎並未這麼做。

熱門新聞

Advertisement