PDF作為初始攻擊　執行惡意指令、後門程式

編譯／陳佩君

最近，威脅應對單位eSentire TRU報告指出，自2022年11月以來駭客重新展開一場針對製造業、商業和醫療機構的惡意攻擊活動，使用PDF檔案作為初始攻擊手法，通過釣魚郵件來傳送惡意載荷，利用執行惡意指令、後門程式和Python腳本等技術手段侵入受害組織的系統。

具體而言，駭客利用釣魚郵件來誘導使用者打開攜帶惡意載荷的PDF附件，其為了讓使用者誤以為該郵件是真實，駭客會在寄件者網域中嵌入Vesta控制面板的相關資訊，通過PDF附件中的連結，使用者被重新導向到駭客控制下的「saprefx[.]com」域名。而根據使用者的位置不同，域名的行為也會有所不同，一種情況是使用者會被重新導向到帶有JavaScript載荷的最終域名，另一種是使用者會遇到TeamViewer安裝程式頁面。一般情況下，受影響的WordPress網站會成為JavaScript載荷托管平台。

當使用者打開JavaScript附件時，惡意腳本會使用「InstallProduct」方法來下載並執行MSI檔案。VBS檔案會利用C槽的序列號作為參數，與C2伺服器建立連接。接著，悄悄地在背景中啟動Windows Installer產品，而使用者則毫不知情。在MSI檔案中，包含了多種工具和腳本，主要用於在感染時捕獲電腦螢幕截圖，這個過程通過AutoHotKey腳本實現，觀察到的工具包括AutoIt、Python腳本和i_view32.exe。

在攻擊初期，安全分析師觀察到駭客釋放了後門程式、Cobalt Strike載荷和Python腳本。PowerShell腳本利用LoadLibraryA函數來加載kernel32.dll和crypt32.dll，使用CryptStringToBinaryA函數將base64字串轉換為二進位格式。Cobalt Strike加載程式會通過檢查「powershell.exe」程序來進一步進行惡意載荷操作。在第二次攻擊中，駭客引入自己開發的後門工具「resident2.exe」，其是用C語言編寫的32位可執行檔。在第三次攻擊中，駭客利用wscript.exe來啟動惡意JavaScript檔案。在最後一次攻擊中首先使用au3.exe，在生成一系列額外的惡意可執行檔。

根據分析，建議採取幾種措施提高安全性，確保每台設備都實施必要的威脅偵測與回應（Endpoint Detection and Response，EDR）解決方案以增強保護、利用學術評估測試預考（Preliminary Scholastic Assessment Test，PSAT）提供員工關於竊盜程式及偷渡式下載涉及風險的適當教育、確保建立員工提交可能被視為惡意內容進行適當評估的程序、使用Windows攻擊面減少規則來阻止由JavaScript和VBScript啟動的下載內容的執行。這些措施能夠提高企業安全性，保護系統免受駭客攻擊的威脅。

資料來源：Cyber Security News

瀏覽 659 次