TA505黑客团队用PDF文件嵌入SettingContent-ms来分发FlawedAmmyy RAT

  • A+
所属分类:网络安全新闻

Proofpoint发现了一个大规模的malspam活动,利用电子邮件提供包含恶意SettingContent-ms文件的武器化PDF文档。
来自Proofpoint的安全专家发现了大规模的malspam活动,骗子发送了数十万封电子邮件,提供包含恶意SettingContent-ms文件的武器化PDF文档。

专家将malspam活动归因于被追踪为TA505的网络犯罪团体,攻击者正在传播FlawedAmmyy RAT

该SettingContent-ms文件格式在Windows 10中实现,以允许用户创建“快捷方式”,以不同的Windows 10的设置页面。

TA505黑客团队用PDF文件嵌入SettingContent-ms来分发FlawedAmmyy RAT

Thi文件为用户[control.exe]打开控制面板,专家注意到它包含模式中的<DeepLink>元素。

此元素使用带参数的任何二进制文件并执行它,这意味着攻击者可以将“control.exe”替换为可以执行任何命令的恶意脚本,包括cmd.exe和PowerShell,而无需用户交互。

“经过无数个小时阅读文件规范,我偶然发现了”.SettingContent-ms“文件类型。此格式是在Windows 10中引入的,允许用户为各种Windows 10设置页面创建“快捷方式”。这些文件只是XML,包含各种Windows 10设置二进制文件的路径。“ 来自S pecterops的专家写道。

“此文件的有趣方面是架构中的 <DeepLink> 元素。此元素使用带参数的任何二进制文件并执行它。如果我们简单地将“control.exe”替换为“cmd.exe / c calc.exe”之类的内容会发生什么?“

专家注意到恶意的SettingContent-ms文件可以绕过Windows 10安全机制,如攻击面减少(ASR)和检测OLE嵌入的危险文件格式。

今年6月,SpecterOps的专家监控了几个滥用Microsoft Word文档中的SettingContent-ms文件格式的广告系列,但仅在几天前,Proofpoint专家注意到威胁演员利用PDF文档。

“SpecterOps的同事最近发表了关于滥用SettingContent-ms文件格式的研究[1]。精心设计的SettingContent-ms文件可用于绕过某些Windows 10防御,例如攻击面减少(ASR)和检测嵌入OLE的危险文件格式。“ 阅读 Proofpoint发布的分析。

  • 服务器购买微信群
  • 阿里云&腾讯云&国外VPS
  • weinxin
  • 服务器购买QQ群
  • 阿里云&腾讯云&国外VPS
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!