https://thehackernews.com/2022/02/russian-apt-hackers-used-covid-19-lures.html
この添付ファイルを開くと、受信者はISOディスクイメージファイルのように見えるものを開くか保存するように求められます( 」 Covid.iso 」)。
被害者がファイルを開くかダウンロードすることを選択した場合、「JavaScriptの小さな断片がISOファイルをデコードします。ISOファイルはHTML添付ファイルに直接埋め込まれています」ディスクイメージファイルには、mshta.exeを使用して実行されるHTMLアプリケーションが含まれています。
感染したシステムに最終的にCobaltStrikeBeaconをロードするPowerShellコードを実行します。
ESETはまた、APT29がHTMLおよびISOディスクイメージ(またはVHDXファイル)に依存していることを、ファイルの出所を特定するためにMicrosoftによって導入されたセキュリティ機能であるMark of the Web(MOTW)保護を回避するために特別に調整された回避手法として特徴づけました。
「ISOディスクイメージは、いわゆるWebのマークをディスクイメージ内のファイルに伝播しません」と研究者たちは述べています。
ロシアのAPTハッカーがCOVID-19ルアーを使用して、ヨーロッパの外交官を標的にした、noreply @ blogger.com(Ravie Lakshmanan)
security summary
コメント