黑客利用Windows错误报告服务进行新的无文件攻击

Malwarebytes安全研究人员Hossein Jazi和Jérôme Segura称，一种新的滥用Microsoft Windows错误报告（WER）服务的无文件攻击技术是一个尚未被识别的黑客组织所为，攻击载体依赖于将自己埋入基于WER的可执行文件中的恶意软件，以避免引起怀疑。

in周二的博客文章，两人说，新的“海怪”攻击——尽管本身不是一种全新的技术——是在9月17日被发现的https://www.zdnet.com/article/researchs-track-hacking-fingerprints-link-russian-group-to-windows-exploits/“target=”\u blank“>研究人员追踪黑客攻击“指纹”，将俄罗斯攻击者链接到Windows漏洞利用卖家

团队发现的一个诱饵钓鱼文档打包在一个.ZIP文件中。标题为“补偿手册.doc，“该文件声称包含与工人薪酬权利相关的信息，但打开后，会触发恶意宏。

该宏使用自定义版本的CactusTorch VBA模块来发起无文件攻击，通过外壳代码实现。

CactusTorch能够加载名为“的.Net编译的二进制文件。”克雷肯.dll“并通过VBScript执行。此有效负载将嵌入的外壳代码注入WERFULT.exe文件，一个连接到WER服务的进程，由Microsoft用来跟踪和解决操作系统错误。

“报告服务，WERFULT.exe文件，通常在发生与操作系统、Windows功能或应用程序相关的错误时调用当受害者看到WERFULT.exe文件在他们的机器上运行时，他们可能会认为发生了一些错误，而在这种情况下，他们实际上已经成为攻击的目标https://www.cnet.com/how-to/amazon-doubles-down-on-echo-home-security-what-to-know/？ftag=CMG-01-10aaa1b“target=”nu blank“rel=”noopener noreferrer“data component=”externalLink“>亚马逊在Echo home security上加倍努力。要知道什么

这项技术也被NetWire远程访问特洛伊木马（RAT）和加密货币窃取href=“https://www.zdnet.com/article/now-cerber-ransomware-wants-to-steal-your-bitcoin-wallets-and-passwords-too/“target=”\u blank“>Cerber勒索软件

外壳代码也被命令向硬编码域发出HTTP请求，很可能会下载其他恶意软件。

Kraken的运营商跟进了几种反分析方法，包括代码混淆、强制DLL在多个线程中运行、检查沙盒或调试器环境以及扫描注册表以查看VMWare的虚拟机或Oracle的VirtualBox是否正在运行。开发人员已将恶意代码编程为在发现分析活动的指标时终止。

TechRepublic:如何提高网络安全操作的有效性，

目前，已经证明很难确定“克雷肯”攻击的属性。恶意软件的硬编码目标URL在分析时被记下，如果没有这个，就不可能有明确的标记来指示一个或另一个APT。

然而，恶意软件人员表示，有一些元素让研究人员想起APT32，也称为a href=”https://www.zdnet.com/article/bmw-and-hyundai-hacked-by-overnamese-hackers-report-claims/“target=”Βblank“>OceanLotus，一家越南APT，据信对2019年针对宝马和现代的攻击负责。

有什么提示吗？通过WhatsApp |信号安全联系，电话+447713 025 499，或访问Keybase:charlie0

ZeroFOX从LookingGlass收购Cyveillance威胁情报业务

FireEye的mandiant通过注册推出新的saas威胁情报套件

，您同意
2023-03-22 10:04:21

新人小程序+APP定制199元起

发放福利，助力中小企业发展，真正在互联网中受益

 点击询问定制

广告服务展示