赛门铁克发现,木马针对的绝大多数目标是石油、天燃气等能源行业。包括阿拉伯联合酋长国、 巴基斯坦、 沙特阿拉伯和科威特,但美国和英国的企业也经历过攻击。
最初的攻击源于moneytrans。从这个域发送包含恶意的文件的电子邮件,该文件利用了Winodows的ActiveX远程控制代码执行漏洞 (CVE-2012-0158)。一旦受害者点击电子邮件,打开附件,木马就开始执行。并复制到%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle目录下。
木马然后开始收集系统数据,包括计算机名称、已安装的软件、内存大小、CPU详细信息和防病毒软件等。此后将信息发送到cyberattackers进行处理。然后根据信息来决定再远程安装其他木马进行数据窃取和攻击。
赛门铁克称这次袭击的幕后集团并技术并不特别先进,他们利用旧的漏洞和木马手法和暗网中出售的类似程序相似。然而,某些系统并非打上最新的安全补丁也可能导致轻易地感染该木马程序。
| 欢迎光临 征集码头论坛_LOGO_广告语_名字_征文_歌曲_包装_景观_文创征集网 (http://zhengjimtcn.com/) | Powered by Discuz! X3.2 |