IT之家 3 月 20 日消息，以色列網(wǎng)絡(luò)安全公司 Perception Point 近日發(fā)布報告，公布了關(guān)于“幻藍行動”（Operation PhantomBlu）的最新追蹤調(diào)查報告。

“幻藍行動”是指近期針對美國企業(yè)的網(wǎng)絡(luò)釣魚活動，黑客制作攜帶有 NetSupport RAT 木馬的微軟 Office 文件，并通過郵件方式分發(fā)，吸引用戶點擊打開，從而遠程竊取敏感數(shù)據(jù)。

NetSupport RAT 源自合法的遠程桌面工具 NetSupport Manager，是一種惡意軟件，網(wǎng)絡(luò)犯罪分子通常利用該工具，在已經(jīng)被入侵的終端上搜刮各種數(shù)據(jù)。

黑客首先會制作一封以工資為主題的釣魚郵件，看起來像是由會計團隊發(fā)送的。它要求收件人打開所附的 Microsoft Word 文檔，查看每月工資報告。

安全團隊檢查電子郵件標(biāo)題（主要是 Return-Path 和 Message-ID 字段）后發(fā)現(xiàn)，黑客使用了一個名為 Brevo（以前稱為 Sendinblue）的有效電子郵件營銷平臺來發(fā)送電子郵件。

受害者打開 Word 文檔時，系統(tǒng)會要求他們輸入電子郵件正文中提到的密碼并啟用編輯功能。然后，他們雙擊文檔中嵌入的打印機圖標(biāo)，查看工資圖表。

后續(xù)該文件會解壓名為 Chart20072007.zip 的 ZIP 壓縮文件，其中包含一個 Windows 快捷方式文件，該文件可用作 PowerShell 驅(qū)動器，從遠程服務(wù)器檢索并執(zhí)行 NetSupport RAT 安裝文件。

PhantomBlu 使用加密的 .doc 文件，通過 OLE 模板和模板注入的方式發(fā)送 NetSupport RAT，這標(biāo)志著 PhantomBlu 與通常與 NetSupport RAT 部署相關(guān)的傳統(tǒng) TTP 的不同，并添加了更新的技術(shù)，展示了 PhantomBlu 在將復(fù)雜的規(guī)避策略與社交工程相結(jié)合方面的創(chuàng)新。

IT之家附上參考地址

• Operation PhantomBlu: New and Evasive Method Delivers NetSupport RAT

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。