Gorgon再出新招：通过“订单、付款收据”PPT投递攻击邮件

4月30日消息 病毒木马无孔不入，如今连ppt也难逃“魔掌”。日前，腾讯安全威胁情报中心检测到多个企业受到以ppt文档为诱饵的钓鱼邮件攻击。经分析发现，该攻击由gorgon黑产组织发起，被投递的ppt文档中均包含恶意宏代码，用户一旦打开就会启动恶意程序下载azorult窃密木马，导致账号密码丢失、信息泄漏等严重后果。腾讯安全提醒企业及个人用户提高警惕、注意防护。 此次事件的初始攻击以ppt文档为诱饵，文件名包括“shn foods order.ppt”、“privateconfidential.ppt”、“analysis reports.ppt”、“order001.ppt”、“payment_receipt.ppt”等，邮件主题以订单、付款收据、分析报告为主，如purchase order2020、payment_receipt.ppt等。据腾讯安全相关专家介绍，此次攻击的最大特点是恶意代码保存在托管平台pastebin上，主要包括vbs脚本、base64编码的powershell脚本以及经过混淆的二进制数据。由于pastebin是第三方网站，同时攻击者在执行代码中加入了一些字符反转和字符连接操作，较容易逃避安全检测。
以订单、付款收据、分析报告为主题的攻击邮件 在攻击事件中，一旦用户点击运行含有恶意代码的ppt，宏代码就会启动mshta执行保存在pastebin上的远程脚本代码。在后续阶段，攻击者会通过计划任务下载rat木马，然后将其注入指定进程执行，rat会不定期更换。从当前捕获到的样本来看主要为azorult窃密木马，用户被感染后，攻击者将能获取受害机器上的各类账号密码，如电子邮件帐户、通信软件、web cookie、浏览器历史记录和加密货币钱包等，同时还能上载和下载文件、进行截屏操作，危害极大。 腾讯安全通过对攻击活动详细分析发现，此次攻击者注册的pastebin账号”lunlayloo”与另一个账号“hagga”对应攻击事件中使用的ttp高度相似，基本可以断定两者属于同一家族manyabotnet。同时，基于高水平的ttp技术，专家认为此次攻击与gorgon group黑产组织有关。此前，该组织已对包括英国、西班牙、俄罗斯和美国在内的多个政府组织进行针对性攻击，影响广泛。
manabotnet攻击流程 腾讯安全专家指出，gorgon group为专业的黑客组织，擅长攻击大型企业、行业及有政府背景的机构组织，一旦攻陷系统危害极大，因此建议企业采用安全厂商的专业解决方案提升系统安全性，防止黑客组织攻击。 腾讯安全针对gorgon组织的各类攻击手段构建了涵盖威胁情报、边界防护、终端保护在内的立体防御体系，打造发现威胁、分析威胁、处置威胁的安全闭环。在威胁情报方面， t-sec威胁情报云查服务、t-sec高级威胁追溯系统已支持gorgon 组织的相关信息和情报，可智能感知识别安全威胁，追溯网络入侵源头。在边界防护上，云防火墙已同步支持gorgon group相关联的iocs识别和拦截，同时t-sec高级威胁检测系统可基于网络流量进行威胁检测，及时发现安全风险。在终端安全上，t-sec主机安全、t-sec终端安全管理系统能实现对云上终端和企业终端的防毒杀毒、防入侵、漏洞管理和基线管理，目前已支持查杀gorgon group组织释放的后门木马程序、恶意office宏代码，拦截powershell执行恶意脚本等。对于个人用户，腾讯电脑管家也已支持对gorgon group黑产团伙传播病毒木马的查杀，用户可予以安装，加强防护。

挑战亚马逊 沃尔玛与Uber联手扩张杂货递送业务
加入apache开源社区的方法
阿里云建站服务器多少钱
外贸官网空间哪个好
虚拟主机提供商是什么
域名NTI.com仲裁结果出炉 被告成功保住域名
六字母域名行情好?分析域名长度和价格的关系
.com域名能做cname解析么 .com域名怎么做解析