我们近期捕获了OceanLotus(海莲花)组织对我国海事机构的网络攻击活动。该组织通过鱼叉式网络钓鱼邮件,伪装成DOCX文件的MSC文件作为附件,引诱目标用户点击。一旦MSC文件被执行,它会释放诱饵文档、白文件Warp.exe以及恶意DLL文件7z.dll。恶意DLL文件由白文件加载后,在内存中解密多层Shellcode,最终执行CobaltStrike Beacon,连接到C2服务器,等待后续指令。此次攻击活动使用了多种规避手段,包括将MSC文件图标设置为Word图标,使用Base64编码规避静态检测,以及通过带有合法数字签名的白文件加载恶意DLL文件逃避杀软动态检测。解密出的C2域名及请求路径显示,攻击者通过CobaltStrike Beacon下发远控指令,该工具被广泛用于网络犯罪及APT活动。此次攻击活动的特征与OceanLotus历史攻击活动高度重合,表明该组织长期活跃,擅长制作针对中国的钓鱼邮件,并热衷于DLL文件侧载攻击方式。
原文链接:
https://mp.weixin.qq.com/s/UhQbJQWXHS06Xrf2arzYdw
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...