黑客组织DarkHydrus利用恶意.iqy文件展开攻击

  • A+
所属分类:网络安全新闻
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz

黑客组织DarkHydrus利用恶意.iqy文件展开攻击

Palo Alto Networks公司旗下 Unit 42威胁研究团队在上周五发表的一篇分析文章中指出,他们在本月深入调查了一起基于新型文件类型(.iqy)的有针对性的攻击活动,至少有一个位于中东地区的政府机构被作为了攻击目标。

Unit 42表示,这起攻击活动是由一个之前未被报道过的黑客组织实施的,被他们追踪为“DarkHydrus”。基于遥测,Unit 42发现了更多的攻击痕迹,使他们相信该组织自2016年初以来就一直在使用他们目前仍在使用的恶意脚本开展活动。

Unit 42指出,这起攻击与 他们之前观察到的攻击活动有所不同,因为在这起攻击中发送给目标组织的鱼叉式网络钓鱼电子邮件所使用的RAR文件附件(受密码保护)中包含的是恶意Web查询文件(.iqy)。

.iqy文件是包含URL的简单文本文件,默认使用Microsoft Excel打开。一旦打开,Excel将检索文件中URL的任何对象。最近,此类文件被犯罪分子用于交付诸如Flawed Ammyy这样的商业化RAT。对于DarkHydrus而言,在其之前的攻击中检索到的首选有效载荷是被滥用于恶意目的开源合法工具,如Meterpreter和Cobalt Strike。但是,在最新的攻击活动中,该组织似乎使用了被 Unit 42称之为“RogueRobin”的基于PowerShell的自定义恶意软件。

CE安全网

发表评论

您必须登录才能发表评论!