第262期安全事件

2021/01/04-2021/01/10


英文标题 North Korean software supply chain attack targets stock investors
中文标题 黑客组织 Thallium 针对股票投资者进行供应链攻击
作者及单位 Ax Sharma
内容概述
ESTsecurity 研究人员发现黑客组织 Thallium 通过更改私人股票投资通讯程序来进行供应链攻击。被注入特定命令的合法安装程序使用 Nullsoft 脚本安装系统(NSIS)重新打包,特定命令从恶意的 FTP 服务器上获取 XSL 脚本,并在 Windows 系统上通过内置的 wmic.exe 实用程序执行该脚本。然后,执行下一阶段的 VBScript,以在 %ProgramData% 目录下创建文件和文件名,并连接 C2服务器,以接收其它命令。攻击者会对受感染的系统进行侦查并筛选受害者,部署 RAT 以进一步进行其它活动。
新闻链接
https://www.bleepingcomputer.com/news/security/north-korean-software-supply-chain-attack-targets-stock-investors/