第230期安全事件
2020/05/11-2020/05/17
| 英文标题 | Updated BackConfig Malware Targeting Government and Military Organizations in South Asia |
| 中文标题 | 白象组织使用 BackConfig 攻击南亚政府和军事组织 |
| 作者及单位 | Alex Hinchliffe and Robert Falcone |
| 内容概述 |
在过去四个月中,Unit 42 研究人员观察到“白象”组织使用 BackConfig 恶意软件针对包括南亚政府和军事组织的攻 击活动。初始感染使用武器化的 Microsoft Excel(XLS)文档,文档通过被入侵的合法网站提供。Excel 文档包含 VBA 宏代 码,宏代码启用后,创建文本文件 Drive.txt,并将批处理文件写入另一个文本文件 Audio.txt,重命名为 Audio.bat 执行。批 处理会清理与先前感染相关的所有文件和文件夹,并重新创建所需环境。批处理文件还创建两个计划的任务来引用两个尚 不存在的文件 dphc.exe 每隔 10 分钟运行一次和 Drive.vbs 每隔 20 分钟运行一次。最后,在删除自身之前,批处理文件会将 Drive.txt 重命名为 Drive.vbs,Drive.vbs 将下载 BackConfig 可执行文件 dphc.exe。 |
| 新闻链接 |
https://unit42.paloaltonetworks.com/updated-backconfig-malware-targeting-government-and-military-organizations/ |