不明文件别打开,PDF又被武器化
著名金融犯罪集团TA505操纵了一场大规模的垃圾邮件活动,垃圾邮件使用了一个全新的载体传播FlawedAmmyy RAT,其中包含恶意SettingContent-ms文件的武器化PDF。
著名金融犯罪集团TA505操纵了一场大规模的垃圾邮件活动,垃圾邮件使用了一个全新的载体传播FlawedAmmyy RAT,其中包含恶意SettingContent-ms文件的武器化PDF。
Windows 10中引入了SettingContent-ms文件格式; 它允许用户为各种Windows 10设置页面创建“快捷方式”。SpecterOps的研究人员就此发问,“这种格式下的所有文件都打开了用户的控制面板,文件的有趣方面是架构中的<DeepLink>元素。此元素接受带有任何参数的任何二进制文件并执行它。如果我们简单地将‘控制程序’替换为‘恶意程序’会怎么样?”
问题的答案是替换脚本在打开时会自动执行任何命令,包括cmd.exe(一种大量占用CPU资源的病毒,常伪装成系统程序运行)和PowerShell,而且不会对用户进行任何提示——意味文件格式蒙蔽了防御系统,成为恶意软件的完美通道。
此方法的代码也在雷达下运行,恶意制作的文件仅绕过某些Windows 10防御,如攻击面减少(ASR)和检测OLE嵌入的危险文件格式。当然,让受害者打开附加到电子邮件的时髦文件格式或许是一个挑战,因此攻击者已经开始将这些格式嵌入到看上去更加无害的附件中。
因此,6月份SpecterOps的研究人员发现有人滥用Microsoft Word文档中的SettingContent-ms文件格式。随后,上周Proofpoint研究人员观察到这种方法不断发展,被延伸应用在了PDF文档中——这是一种此前未知的新的技术。
“我们于7月16日发现一场特大规模的异常活动:数十万条消息试图发送带有嵌入式SettingContent-ms文件的PDF附件,活动中信息用了一个简单的诱饵,要求用户打开附加的PDF文件。”Proofpoint研究人员反映。
打开文件时,Adobe Reader会显示警告,询问用户是否要打开文件,因为它试图通过JavaScript运行嵌入的“downl.SettingContent-ms”,就像嵌入PDF中的任何文件格式一样。如果目标受害者单击“确定”,那么<DeepLink>元素中包含的PowerShell命令将部署FlawedAmmyy RAT。
该RAT自2016年起处于活动状态,仅在今年早些时候才被纳入研究人员的监控范围。RAT基于Ammyy Admin远程桌面软件版本3的泄露源代码,其功能包括远程桌面控制,文件系统管理器,代理支持和音频聊天。
“对于受感染的个人来说,攻击者有完全访问他们电脑的可能,使威胁行为者能够访问各种服务,窃取文件和凭据等等,我们在两次大规模的活动中都看到了FlawedAmmyy,可能会制造大规模攻击,以及有针对性的活动,为行动者提供窃取客户数据,专有信息等的机会。”
将这些活动归因于金融犯罪集团TA505的判断基础是电子邮件消息、有效载荷和其他识别特征。TA505发起大规模的malspam活动,利用Necurs僵尸网络分发一系列有效载荷,包括Dridex银行木马,Locky勒索软件,Jaff勒索软件,Trick银行木马等,以及其他几种有效载荷。它运行各种C&C服务器,使其在移除、sinkholes和其他防御操作的情况下具有灵活性。
proofpoint研究人员表示,“TA505的运作规模往往非常大,因为他们的影响力和竞选活动的规模,追求经济利益的人往往趋之若鹜。无论是成熟的(如TA505)还是新一代攻击者,当恶意软件作者和研究人员发布新的概念证据时,攻击者都会迅速采用新的技术和方法。在这种情况下,我们看到了TA505作为早期采用者,将SettingContent-ms文件的滥用调整为基于PDF的大规模攻击。我们将继续监测威胁行为者在未来几周内采用这种方法的方式。”
Windows 10中引入了SettingContent-ms文件格式; 它允许用户为各种Windows 10设置页面创建“快捷方式”。SpecterOps的研究人员就此发问,“这种格式下的所有文件都打开了用户的控制面板,文件的有趣方面是架构中的<DeepLink>元素。此元素接受带有任何参数的任何二进制文件并执行它。如果我们简单地将‘控制程序’替换为‘恶意程序’会怎么样?”
问题的答案是替换脚本在打开时会自动执行任何命令,包括cmd.exe(一种大量占用CPU资源的病毒,常伪装成系统程序运行)和PowerShell,而且不会对用户进行任何提示——意味文件格式蒙蔽了防御系统,成为恶意软件的完美通道。
此方法的代码也在雷达下运行,恶意制作的文件仅绕过某些Windows 10防御,如攻击面减少(ASR)和检测OLE嵌入的危险文件格式。当然,让受害者打开附加到电子邮件的时髦文件格式或许是一个挑战,因此攻击者已经开始将这些格式嵌入到看上去更加无害的附件中。
因此,6月份SpecterOps的研究人员发现有人滥用Microsoft Word文档中的SettingContent-ms文件格式。随后,上周Proofpoint研究人员观察到这种方法不断发展,被延伸应用在了PDF文档中——这是一种此前未知的新的技术。
“我们于7月16日发现一场特大规模的异常活动:数十万条消息试图发送带有嵌入式SettingContent-ms文件的PDF附件,活动中信息用了一个简单的诱饵,要求用户打开附加的PDF文件。”Proofpoint研究人员反映。
打开文件时,Adobe Reader会显示警告,询问用户是否要打开文件,因为它试图通过JavaScript运行嵌入的“downl.SettingContent-ms”,就像嵌入PDF中的任何文件格式一样。如果目标受害者单击“确定”,那么<DeepLink>元素中包含的PowerShell命令将部署FlawedAmmyy RAT。
该RAT自2016年起处于活动状态,仅在今年早些时候才被纳入研究人员的监控范围。RAT基于Ammyy Admin远程桌面软件版本3的泄露源代码,其功能包括远程桌面控制,文件系统管理器,代理支持和音频聊天。
“对于受感染的个人来说,攻击者有完全访问他们电脑的可能,使威胁行为者能够访问各种服务,窃取文件和凭据等等,我们在两次大规模的活动中都看到了FlawedAmmyy,可能会制造大规模攻击,以及有针对性的活动,为行动者提供窃取客户数据,专有信息等的机会。”
将这些活动归因于金融犯罪集团TA505的判断基础是电子邮件消息、有效载荷和其他识别特征。TA505发起大规模的malspam活动,利用Necurs僵尸网络分发一系列有效载荷,包括Dridex银行木马,Locky勒索软件,Jaff勒索软件,Trick银行木马等,以及其他几种有效载荷。它运行各种C&C服务器,使其在移除、sinkholes和其他防御操作的情况下具有灵活性。
proofpoint研究人员表示,“TA505的运作规模往往非常大,因为他们的影响力和竞选活动的规模,追求经济利益的人往往趋之若鹜。无论是成熟的(如TA505)还是新一代攻击者,当恶意软件作者和研究人员发布新的概念证据时,攻击者都会迅速采用新的技术和方法。在这种情况下,我们看到了TA505作为早期采用者,将SettingContent-ms文件的滥用调整为基于PDF的大规模攻击。我们将继续监测威胁行为者在未来几周内采用这种方法的方式。”
关于作者
评论2次
这种常用文件的漏洞防不胜防啊。
PDF又开始了?还是adoxi的?