2018年1月8日,中東地區的一家保險公司被發現受到惡意軟體OopsIE的攻擊,背後的主使是OilRig網路間諜組織。

一週後,另一家中東地區金融機構也受到了同樣惡意軟體的攻擊。保險公司受到的攻擊是一個變種的ThreeDollars分發文件,這種惡意軟體之前由OilRig組織開發的木馬程序ISMInjector,攻擊阿聯酋政府。

第一次攻擊行為表現為,在6分鐘內,同一個機構向2個不同郵箱發出2份郵件,郵箱來自於黎巴嫩的一家全球金融機構。所發出的電子郵件標題為「貝魯特保險高峯論壇邀請」,附件是一份名為Seminar-Invitation.doc報名錶,這就是ThreeDollars惡意文件。

之後的第二次攻擊行為中,OilRig組織直接在郵件中向目標機構發送惡意文件的鏈接。用戶點擊鏈接後,OopsIE木馬程序就會自動下載到電腦上。

文件中的宏會創建一個時長1分鐘的定時任務,使用Certutil證書安裝服務解碼base64數據後;接著創建第二個時長2分鐘的定時任務,使用VBScript腳本執行OopsIE木馬程序後並清理安裝痕跡。由於OopsIE木馬程序使用SmartAssembly和混合ConfuserEx v1.0.0.進行封裝,以VBScript文件格式在系統中運行。

OopsIE惡意程序本身還會每隔3分鐘執行一次通信任務,使用HTTP協議和遠程伺服器使用IE組件進行通信,創建特定的C2伺服器網址,根據標籤<pre> and </pre>查找特定的內容,OopsIE可以使用命令進行上傳或下載特定文件。

WTT資訊-最新科技資訊,實時網安信息?

www.wttech.org圖標

歡迎關注我們:

@W-Pwn


推薦閱讀:
相关文章