压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

FireEye的研究人員從2018年1月到2018年3月發(fā)現(xiàn)了一項(xiàng)針對(duì)亞洲和中東地區(qū)的新型大規(guī)模網(wǎng)絡(luò)釣魚(yú)攻勢(shì)。該活動(dòng)背后的團(tuán)體被稱(chēng)為T(mén)EMP.Zagros，又名MuddyWater，據(jù)專(zhuān)家介紹，它現(xiàn)在正在采用新的戰(zhàn)術(shù)，技術(shù)和程序。

2017年，PaloAlto Networks的研究人員首次發(fā)現(xiàn)了TEMP.Zagros，黑客們利用魚(yú)叉式釣魚(yú)信息針對(duì)多個(gè)國(guó)家的各個(gè)行業(yè)。攻擊者使用通常具有地緣政治主題的武器化文件，例如聲稱(chēng)來(lái)自巴基斯坦國(guó)民議會(huì)或銀行技術(shù)發(fā)展與研究所的文件。

根據(jù)FireEye的報(bào)告，TEMP.Zagros攻擊者正在采用一種稱(chēng)為POWERSTATS的后門(mén)，用于后門(mén)，并重新使用已知技術(shù)進(jìn)行橫向移動(dòng)。這些基于宏的文檔中的每一個(gè)都使用了類(lèi)似的代碼執(zhí)行技術(shù)，持久性以及與命令和控制（C2）服務(wù)器的通信。黑客重新使用AppLocker旁路和橫向移動(dòng)技術(shù)來(lái)實(shí)現(xiàn)間接代碼執(zhí)行。橫向移動(dòng)技術(shù)中的IP地址被本地機(jī)器IP地址替代以實(shí)現(xiàn)系統(tǒng)上的代碼執(zhí)行。

該活動(dòng)于1月23日開(kāi)始涉及一個(gè)基于宏的文檔，該文檔刪除了VBS文件和包含Base64編碼的PowerShell命令的INI文件。Base64編碼的PowerShell命令將由PowerShell使用由WBS文件執(zhí)行時(shí)使用WScript.exe生成的命令行進(jìn)行解碼和執(zhí)行。攻擊者對(duì)每個(gè)樣本使用不同的VBS腳本，采用不同級(jí)別的模糊處理以及調(diào)用流程樹(shù)下一階段的不同方式。

從2018年2月27日開(kāi)始，黑客使用了一個(gè)不使用VBS來(lái)執(zhí)行PowerShell代碼的宏的新變種。 新的變體使用一種新的代碼執(zhí)行技術(shù)，利用INF和SCT文件。FireEye的研究人員還在TEMP.Zagros使用的惡意代碼中發(fā)現(xiàn)了中文字符串，這些字符串被留作虛假標(biāo)志以使得歸屬變得更加困難。

FireEye 分析報(bào)告：https://www.fireeye.com/blog/threat-research/2018/03/iranian-threat-group-updates-ttps-in-spear-phishing-campaign.html

原文：http://securityaffairs.co/wordpress/70453/hacking/temp-zagros-phishing.html