Hackernews 编译,转载请注明出处:
以“Bitter”为名的高级持续性威胁继续对孟加拉国的军事实体进行网络攻击。
该消息来自SecuInfra网络安全专家团队,他们在周二发布了一份报告,描述了南亚APT最近的行动。
“通过恶意文档文件和中间恶意软件阶段,黑客通过部署远程访问木马进行间谍活动。”该文件写道。
SecuInfra的调查结果基于Talos 去年5月发布的一份报告(该报告披露了该组织的扩张和攻击孟加拉国政府组织的意图),并涵盖了可能在2022年5月中旬发生的一次攻击事件。
具体来说,该攻击可能源于一份武器化Excel文档,该文档可能通过鱼叉式网络钓鱼电子邮件分发。
打开后,电子邮件将利用Microsoft 公式编辑器漏洞(CVE-2018-0798) 从远程服务器中删除名为ZxxZ的有效载荷。
然后,恶意代码将在 Visual C++中实现,并作为第二阶段植入工作,允许黑客部署其他恶意软件。
“将这个指纹识别功能与Cisco Talos文档中记录的指纹识别功能进行比较,我们可以发现Bitter放弃了ZxxZ值分隔符,而使用了一个简单的下划线。”
据SecuInfra称,APT这样做是为了避免通过基于此特定分离器的IDS/IPS系统进行检测。
安全研究人员说,为了防止此类攻击,企业和政府应该定期实施网络和端点检测和响应措施,并修补 Microsoft Office等常用软件。
消息来源:infosecurity,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文