Gorgon再出新招:通过“订单、付款收据”PPT投递

2021-04-04

  病毒木马无孔不入,目前连PPT也难遁“魔掌”。日前,腾讯安定挟制谍报核心检测到众个企业受到以PPT文档为诱饵的垂钓邮件攻击。经剖析发觉,该攻击由Gorgon黑产机合创议,被送达的PPT文档中均蕴涵恶意宏代码,用户一朝翻开就会启动恶意序次下载Azorult窃密木马,导致账号暗码失落、音信揭发等主要后果。腾讯安定指导企业及个体用户升高警卫、细心防护。

  正在攻击事故中,一朝用户点击运转含有恶意代码的PPT,宏代码就会启动mshta实行保全正在pastebin上的长途剧本代码。正在后续阶段,攻击者会通过安放做事下载RAT木马,然后将其注入指定历程实行,RAT会不按期改换。从现在捕捉到的样历来看苛重为Azorult窃密木马,用户被影响后,攻击者将能获取受害机械上的百般账号暗码,如电子邮件帐户、通讯软件、Web Cookie、浏览器史乘纪录和加密钱银钱包等,同时还能上载和下载文献、举办截屏操作,损害极大。

  腾讯安定通过对攻击勾当精确剖析发觉,此次攻击者注册的pastebin账号”lunlayloo”与另一个账号“hagga”对应攻击事故中操纵的TTP高度相像,根本能够断定两者属于统一家族ManyaBotnet。同时,基于高秤谌的TTP手艺,专家以为此次攻击与Gorgon Group黑产机合相合。此前,该机合已对席卷英邦、西班牙、俄罗斯和美邦正在内的众个政府机合举办针对性攻击,影响普通。

  腾讯安定专家指出,Gorgon Group为专业的黑客机合,擅长攻击大型企业、行业及有政府布景的机构机合,一朝攻下体例损害极大,以是倡导企业采用安定厂商的专业管理计划提拔体例安定性,抗御黑客机合攻击。

  腾讯安定针对Gorgon机合的百般攻击手腕修建了涵盖挟制谍报、范围防护、终端爱护正在内的立体防御系统,打制发觉挟制、剖析挟制、处分挟制的安定闭环。正在挟制谍报方面, T-Sec挟制谍报云查任事、T-Sec高级挟制追溯体例已赞成Gorgon 机合的合联音信和谍报,可智能感学问别安定挟制,追溯搜集入侵泉源。正在范围防护上,云防火墙已同步赞成Gorgon Group合联联的IOCs识别和拦截,同时T-Sec高级挟制检测体例可基于搜集流量举办挟制检测,实时发觉安定危急。正在终端安定上,T-Sec主机安定、T-Sec终端安定执掌体例能杀青对云上终端和企业终端的防鸩杀毒、防入侵、缝隙执掌和基线执掌,目前已赞成查杀Gorgon Group机合开释的后门木马序次、恶意Office宏代码,拦截Powershell实行恶意剧本等。关于个体用户,腾讯电脑管家也已赞成对Gorgon Group黑产团伙散播病毒木马的查杀,用户可予以安置,增强防护。