laptop-2450155_640

多阶段 APT 攻击使用 C2 功能降低 Cobalt Strike

  • 浏览次数 57420
  • 喜欢 0
  • 评分 12345

6月10日,我们发现了一个伪装成简历的恶意Word文档,它使用模板注入来删除一个Net Loader。这是我们认为是APT攻击的一个部分,在最后阶段,威胁者使用Cobalt Strike的C2特性下载最终的有效载荷并执行C2通信。

这次袭击因为它的躲避技巧显得特别聪明。如我们观察到在执行来自恶意Word宏的有效负载时存在故意延迟。此外,通过将shell代码隐藏在一个无害的 JavaScript中并在不触及磁盘的情况下加载它,APT可以进一步阻止安全检测。

 

更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/

 

 

消息来源:malwarebyte,译者:dengdeng。
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接