https://thehackernews.com/2022/01/researchers-uncover-new-iranian-hacking.html
「このキャンペーンでは、悪意のあるPDF、XLSファイル、およびWindows実行可能ファイルを利用して、最初の足掛かりとして機能する悪意のあるPowerShellベースのダウンローダーをターゲットの企業に展開します」
侵入は、2021年11月に組織化されたと考えられており、攻撃者が管理するメディアまたはメディアでホストされている武器化されたExcelドキュメントとPDFファイルを使用して、トルコ科学技術研究会議(TÜBİTAK)を含むトルコ政府機関に向けられました。
これらのmaldocsは、トルコの保健省および内務省からの正当なドキュメントになりすましており、攻撃はそれらに埋め込まれた悪意のあるマクロを実行して感染チェーンを伝播し、PowerShellスクリプトを侵害されたシステムにドロップすることから始まります。
これは、標的の感染の成功を追跡し、分析を阻止し、ペイロードかどうかを検出するために研究者が使用していると思われるメカニズムです。
その後、PowerShellスクリプトは、次のペイロードをダウンロードして実行します。
Talosによって観察された攻撃の2番目の亜種では、リンクが埋め込まれたPDFドキュメントがExcelファイルではなくWindows実行可能ファイルを指していることが判明し、PowerShellダウンローダーを展開するために感染チェーンを計測しました。
研究者がトルコのユーザーを標的とした新しいイランのハッキングキャンペーンを発見、noreply @ blogger.com(Ravie Lakshmanan)
security summary
コメント