“幻蓝行动”报告：黑客制作恶意Office文档，分发窃取敏感数据

IT之家3月20日消息，以色列网络安全公司PerceptionPoint近日发布报告，公布了关于“幻蓝行动”（OperationPhantomBlu）的最新追踪调查报告。

NetSupportRAT源自合法的远程桌面工具NetSupportManager，是一种恶意软件，网络犯罪分子通常利用该工具，在已经被入侵的终端上搜刮各种数据。

黑客首先会制作一封以工资为主题的钓鱼邮件，看起来像是由会计团队发送的。它要求收件人打开所附的MicrosoftWord文档，查看每月工资报告。

安全团队检查电子邮件标题（主要是Return-Path和Message-ID字段）后发现，黑客使用了一个名为Brevo（以前称为Sinblue）的有效电子邮件营销平台来发送电子邮件。

受害者打开Word文档时，系统会要求他们输入电子邮件正文中提到的密码并启用编辑功能。然后，他们双击文档中嵌入的打印机图标，查看工资图表。

后续该文件会解压名为的ZIP压缩文件，其中包含一个Windows快捷方式文件，该文件可用作PowerShell驱动器，从远程服务器检索并执行NetSupportRAT安装文件。

PhantomBlu使用加密的.doc文件，通过OLE模板和模板注入的方式发送NetSupportRAT，这标志着PhantomBlu与通常与NetSupportRAT部署相关的传统TTP的不同，并添加了更新的技术，展示了PhantomBlu在将复杂的规避策略与社交工程相结合方面的创新。

IT之家附上参考地址

很赞哦!（188）