电信企业AT&T旗下的威胁实验室Alien Labs披露新形态的RAT木马程序AsyncRAT攻击行动,研究人员在去年9月,发现针对部分企业特定人士发送的钓鱼邮件大幅增加,从而着手进行相关调查。他们看到黑客先是发送挟带GIF图片文件的恶意邮件,若是收信人将其打开,将会产生另一个SVG矢量图片文件,此文件将会下载经过混淆处理的JavaScript...
1. 用作配置木马客户端自启动的功能; 2. 开启这个功能后会将木马客户端复制到指定位置; 3. 文件名称可以重新命名; 4. 文件路径可选择%AppData%或%Temp%目录; 5. 当木马客户端以普通用户权限执行时,会在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run添加项,以新的木马客户端名称作为注册表项的名称...
从2022年12月到2023年1月31日,攻击者使用 OneNote 附带文件的邮件攻击活动数量显着增加,传播的相关恶意软件有Redline、AgentTesla、Quasar RAT、AsyncRAT、XWorm、Netwire、DOUBLEBACK和Qbot等。OneNote是Microsoft创建的数字笔记本,可通过Microsoft 365产品套件..
之后也曾发现使用AsyncRAT远控,现在开始使用XWorm远控,通过跟踪可以发现黑产团伙仍然在不断更新自己的攻击样本,直接使用一些现有的RAT远控木马,以及免杀加载器等,不断降低自己的攻击成本,以寻求利益的最大化。
7.分析解密后的 payload 代码,发现是 AsyncRAT 远控木马,如下所示: 黑客远程服务器地址为:95.216.102.32 IOCs HASH E78B26D7034394FD775493CFA552E3A3 000AA2353C74B13057A73ACBA92FADEC IP 95.216.102.32 总结 深信服高级威胁团队专注全球高级威胁事件的跟踪与分析,拥有一套完善的自动化分析溯源系统以及外部威胁监控...
近日发现一批新的钓鱼攻击活动,黑产团伙直接使用AsyncRAT和XWorm等远控木马黑客工具,对受害者进行远程控制,进行网络诈骗等攻击活动,笔者对这批样本进行详细跟踪分析。 样本分析 1.样本一伪装成Microsoft Edge程序,如下所示: 2.编译时间为2024年5月12号,如下所示: ...