1. 极安网首页
  2. 网络安全新闻

网络安全研究人员发现针对印度陆军的网络间谍行动

网络安全研究人员发现至少自2019年以来正在进行的针对印度国防部门和武装人员的网络间谍活动的新证据,目的是窃取敏感信息。

该攻击被印度网络安全公司QuickHeal称为“OperationSideCopy”,其攻击源于一个先进的持久威胁(APT)小组,该组织通过“复制”其他威胁行为者(例如SideWinder)的战术成功地躲在了雷达之下。

利用Microsoft公式编辑器缺陷

该活动的起点是带有嵌入式恶意附件的电子邮件(以包含LNK文件或MicrosoftWord文档的ZIP文件的形式),该电子邮件通过一系列下载最终阶段有效负载的步骤来触发感染链。

除了识别三个不同的感染链外,值得注意的是,其中一个利用了模板注入和MicrosoftEquationEditor漏洞(CVE-2017-11882),这是MicrosoftOffice中存在20年的内存损坏问题,当成功利用时,即使没有用户交互,攻击者也可以在易受攻击的计算机上执行远程代码。

微软在2017年11月发布的补丁中解决了该问题。

网络安全研究人员发现针对印度陆军的网络间谍行动-极安网

与这类垃圾邮件活动一样,攻击依靠一些社会工程手段诱使用户打开看似真实的Word文档,该文档声称与印度政府的国防生产政策有关。

此外,LNK文件具有双扩展名(“Defence-Production-Policy-2020.docx.lnk”),并带有文档图标,从而诱使毫无戒心的受害者打开文件。

一旦打开,LNK文件就会滥用“mshta.exe”来执行在欺诈性网站上托管的恶意HTA(MicrosoftHTML应用程序的缩写)文件,而HTA文件是使用称为CACTUSTORCH的开源有效负载生成工具创建的。

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/1945.html