压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

7月初，通過分發(fā)LokiBot信息竊取者有效載荷的垃圾郵件運(yùn)動，大約有100個(gè)組織成為大規(guī)模魚叉網(wǎng)絡(luò)釣魚的目標(biāo)。

攻擊者以憑據(jù)盜竊為目標(biāo)，攻擊了來自世界各地的企業(yè)，重點(diǎn)攻擊了阿拉伯聯(lián)合酋長國，德國和葡萄牙的公司。

盜竊信息的Lokibot惡意軟件（一種已知已在各種地下站點(diǎn)上進(jìn)行廣告和銷售的病毒），是威脅參與者選擇的工具，一旦他們設(shè)法破壞并感染目標(biāo)計(jì)算機(jī)，它們便會收集和泄露敏感數(shù)據(jù)。

但是，正如發(fā)現(xiàn)該攻擊的Microsoft Defender ATP研究團(tuán)隊(duì)所說，“ Microsoft Defender ATP中的行為阻止和遏制功能在攻擊的早期階段成功檢測到并挫敗了該攻擊，從而保護(hù)了客戶免受損害。”

憑證盜竊攻擊鏈

為了分發(fā)Lokibot負(fù)載，攻擊者使用了針對性強(qiáng)的魚叉式網(wǎng)絡(luò)釣魚電子郵件，其中包含專門針對目標(biāo)組織的內(nèi)容。

例如，對于一家制藥公司，他們“使用制藥行業(yè)的行話來提高電子郵件的信譽(yù)，在一種情況下，要求對目標(biāo)公司可能生產(chǎn)的成分進(jìn)行報(bào)價(jià)。”

網(wǎng)絡(luò)釣魚郵件樣本

為了破壞受害者的系統(tǒng)，當(dāng)目標(biāo)打開誘餌文檔時(shí)，網(wǎng)絡(luò)釣魚電子郵件附件將從攻擊者控制的WordPress網(wǎng)站加載惡意代碼。

下一步，遠(yuǎn)程加載的利用代碼將濫用Microsoft Office Equation Editor組件中的?CVE-2017-11882遠(yuǎn)程執(zhí)行代碼漏洞?，并且在成功利用Lokibot惡意軟件后，將其下載并刪除。

LokiBot會收集盡可能多的敏感信息，這些信息隨后會通過HTTP POST請求傳遞到惡意軟件操作員的命令和控制（C2）服務(wù)器。

LokiBot惡意軟件以竊取各種各樣的憑據(jù)而聞名，包括但不限于電子郵件帳戶密碼，F(xiàn)TP憑據(jù)，瀏覽器存儲的密碼等等。

被?Microsoft Defender ATP?阻止的攻擊

但是，正如?微軟所說?，“?Microsoft Defender ATP中?內(nèi)置的基于行為的機(jī)器學(xué)習(xí)模型在攻擊鏈中的兩個(gè)點(diǎn)都抓住了攻擊者的技術(shù)。”

更準(zhǔn)確地說，它設(shè)法檢測到惡意攻擊的利用行為以及用于在將其惡意代碼取消映射后將惡意代碼注入運(yùn)行中的進(jìn)程的挖空技術(shù)。

攻擊鏈

上個(gè)月，微軟的研究人員還?發(fā)現(xiàn)了一個(gè)新的無文件惡意活動，?該?活動?由Microsoft Defender ATP研究團(tuán)隊(duì)?命名為Nodersok，?由Cisco Talos?命名為?Divergent?，并在放下LOLBins并使用基于Node.js的惡意軟件感染W(wǎng)indows系統(tǒng)的情況下進(jìn)行了觀察代理。

七月份，微軟發(fā)現(xiàn)了另一個(gè)?無文件惡意軟件活動，該活動將信息竊取者Astaroth Trojan?放入了受感染計(jì)算機(jī)的內(nèi)存中。

就像9月份檢測到Nodersok攻擊一樣，傳遞Astaroth負(fù)載的攻擊使用了各種無文件技術(shù)和多階段感染鏈，最初的媒介是帶有惡意鏈接的魚叉式網(wǎng)絡(luò)釣魚電子郵件。

原文鏈接：?https://www.bleepingcomputer.com/news/security/microsoft-blocks-credential-theft-attack-targeting-dozens-of-orgs/

轉(zhuǎn)載自安全加：http://toutiao.secjia.com/article/page?topid=112044