钓鱼邮件传播远控木马进行地域性攻击
日期:2023-12-21 10:32:03 发布人:信息化建设中心 浏览量:172
事件概要
|
恶意文件名称 |
SugarGh0st |
|
发布时间 |
2023年12月20日 |
|
威胁类型 |
远控木马 |
|
简单描述 |
远控木马SugarGh0st由C++编写,拥有屏幕截图、文件/进程任意操作、远程命令执行等功能,攻击者可对受控目标主机执行任意远控操作,可轻松获取目标敏感信息及其他危险行为。 |
恶意文件分析
事件描述
近期,深盾实验室在运营工作中发现一起地域网络攻击事件,威胁行为者疑似以钓鱼邮件为入口点,通过两条不同的感染链最终释放SugarGh0st远控木马,进而有选择的针对乌兹别克斯坦共和国与韩国终端用户。
解决方案
处置建议
- 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。
- 避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。
- 安装信誉良好的防病毒/反间谍软件,定期进行系统全盘扫描,并删除检测到的威胁,按时升级打补丁。
- 查看Temp目录是否存在文章中出现的文件,查看进程是否有Temp目录下的rundll32.exe或dllhost.exe,若有可结束进程并删除文件。
在该起事件中,攻击者分别设计了三款以PDF与Word文档进行伪装的lnk文件,并使用特殊文件名以诱导用户点击,进而完成后续的感染链攻击。经分析,感染链的最终阶段都将释放一款由Gh0st改编而来的远控木马SugarGh0st,可以推断威胁行为者的最终目标是获取指定目标主机的访问及控制权限,进行敏感信息窃取活动以及其他危险行为。