第230期安全事件
2020/05/11-2020/05/17
| 英文標題 | Updated BackCon?g Malware Targeting Government and Military Organizations in South Asia |
| 中文標題 | 白象組織使用 BackCon?g 攻擊南亞政府和軍事組織 |
| 作者及單位 | Alex Hinchliffe and Robert Falcone |
| 內容概述 |
在過去四個月中,Unit 42 研究人員觀察到“白象”組織使用 BackCon?g 惡意軟件針對包括南亞政府和軍事組織的攻 擊活動。初始感染使用武器化的 Microsoft Excel(XLS)文檔,文檔通過被入侵的合法網站提供。Excel 文檔包含 VBA 宏代 碼,宏代碼啟用后,創建文本文件 Drive.txt,并將批處理文件寫入另一個文本文件 Audio.txt,重命名為 Audio.bat 執行。批 處理會清理與先前感染相關的所有文件和文件夾,并重新創建所需環境。批處理文件還創建兩個計劃的任務來引用兩個尚 不存在的文件 dphc.exe 每隔 10 分鐘運行一次和 Drive.vbs 每隔 20 分鐘運行一次。最后,在刪除自身之前,批處理文件會將 Drive.txt 重命名為 Drive.vbs,Drive.vbs 將下載 BackCon?g 可執行文件 dphc.exe。 |
| 新聞鏈接 |
https://unit42.paloaltonetworks.com/updated-backconfig-malware-targeting-government-and-military-organizations/ |