Cyber​​ Espionage集团后面的单身攻击
Trello为Windows和Mac用户添加了桌面应用程序
中国AI启动索赔儿科诊断突破
从高级邮政的家庭办公室vetoes隐私活动在监视看门狗
澳大利亚应该拥抱自动化,但要意识到缺点
传统系统持有银行从满足即时账户的需求
新的SanDisk MicroSD卡为Android用户提供了应用程序速度提升
15苹果如何运行其业务的新洞察力
IT专业人士正在为数字双胞胎开始做好准备
Windows 10-On-ARM PCS支持混合现实耳机吗?
思科突破了物理数据中心,以支持基于应用的未来
使用Chrome OS订阅的企业战斗的谷歌Girds
集成挑战导致数字减速
MS修复了具有更多错误的修补程序的“外部数据库”错误
建立战略人工智能,但购买较低的研发风险
3 iPhone X手机视频评论推动苹果在新观众
iPhone突出的影子和企业移动性如何
Chrome reakies内置的金丝雀早期版本的封锁器
Zoho Cliq是对竞争对手的最新群聊天工具和微软团队
GDS将陷入困境的GOV.uk验证系统的预期效益达到75%
最讨厌的iPhone更改(加上简单的解决方法)
SAP希望帮助企业从他们的智能设备中学到
几乎有一半的英国公司通过网络钓鱼攻击袭击
政府在BEREXIT由于所需的“重大工作”之后,政府规定了横向区
超级计算是如何改变实验科学的
惠普计算机所有者:检查MICTRAY COXANT KEYLOGGER
微软365业务:Office + Windows 10在一个SMB友好的订阅中
国会议员讲话,政府必须优先考虑更换遗产的遗产
Citrix Breach再次突出密码弱点
CIO采访:查尔斯艾文,梅德办公室
ICO增加了“无交易”Brexit的指导
荷兰公司缺乏对IOT的好处的了解
ICO数据对英国公司管理违规行为的能力提出了疑虑
Microsoft Yanks Bad Outlook补丁kB 3191849,3213654,401042
流量擦洗如何防止DDOS攻击
整整10年后,iPhone仍然占主导地位......现在
微软捍卫边缘浏览器的扩展速度缓慢
新加坡发布亚洲的第一家AI治理框架
英国非接触式卡欺诈潮
GE为Predix Industrial IoT Suite添加了Edge Analytics,AI功能
BigCommerce从IBM和AWS迁移了60,000家商家到谷歌云平台
泰国推动东盟的行业4.0
是时候安装9月份的Windows和Office的时候了
exxon加入IBM的量子委员会,因为Q系统是商业的
Outlook安全补丁故意打破自定义表单
桑坦德宣布,随着数字频道接管,宣布最新的分支闭包
Microsoft曲面可靠性问题:它不仅仅是硬件和软件
面试:伦敦电网学习CEO在学校工作的技术
研究人员发现新的Magecart集团
CIO采访:David Germain,Cito,RSA保险集团
您的位置:首页 >产品 > 电子产品 >

Cyber​​ Espionage集团后面的单身攻击

2021-08-20 14:44:04 [来源]:

赛门铁克研究人员已经将一个网络间谍组织确定为2018年关于新加坡公共医疗保健提供者单一的前所未有的攻击后的肇事者,导致了超过150万患者记录的盗窃。

被称为赛门铁克的白粉,而赛门铁克 - 据信自2017年以来一直在运营 - 在包括医疗保健,媒体和电信等行业的新加坡主要基于新加坡的目标组织,并主要有兴趣窃取大量敏感信息。

根据赛门铁克的说法,白粉的Modus Operani涉及使用伪装成文件或图像的恶意文件,通常提供有关职位开口的信息,或者出现在与受害者在同一行业中运行的另一个组织发送的文件。

赛门铁克表示,鉴于伪装的本质,很可能使用矛网络钓鱼电子邮件向受害者发送给受害者。

粉底的复杂程度在他们欺骗了称为动态链路库(DLL)的合法软件组件的能力中表现出了攻击。

当网络钓鱼电子邮件中包含的恶意文件被受害者打开时,称为VCRODAT的装载机将使用称为搜索顺序劫持的技术在计算机上运行。

根据赛门铁克的说法,这种技术利用了Windows不需要应用程序来为其所希望加载的DLL提供特定路径来提供特定路径。如果没有提供路径,则Windows以预定义的顺序在计算机上的特定位置中搜索DLL。

因此,攻击者可以使恶意DLL与合法DLL相同,但将其放在搜索顺序中的合法版本领先地位,以便在Windows搜索它时加载它。粉布常常将vCRODAT作为恶意DLL提供与安全应用程序使用的DLL相同的名称。

Symantec通过定位安全应用程序表示,攻击者将能够为恶意软件获得更高的权限,因为恶意DLL可以使用升高的权限运行。

一旦执行,vcrodat将加密的有效载荷加载到受害者的计算机上。在将系统信息发送到服务器并下载其他工具之前,有效载荷与命令和控制(C&C)服务器联系,并下载其他工具。

一旦目标组织网络上的初始计算机感染vcrodat,粉虱就开始映射网络并感染其他机器。

粉虱通常会在长时间留在目标组织内 - 经常是几个月 - 窃取大量信息。它通过部署促进攻击者和受感染的计算机之间的通信的许多工具来保持妥协。

赛门铁克的调查结果反映了对袭击的早期描述,新加坡的卫生部说是故意的,有针对性和精心策划的。除新加坡外,赛门铁克表示,丹菲还将其工具抵抗东南亚和俄罗斯的国防,电信和能源部门。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。