俄罗斯APT28组织新型Outlook后门GONEPOSTAL:利用电子邮件构建隐蔽C2通道
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
网络安全公司Kroll发现俄罗斯APT28组织利用名为GONEPOSTAL的恶意Outlook宏后门进行间谍活动。该恶意软件通过DLL侧加载和VBA宏引擎建立隐蔽的命令控制通道。APT28与俄罗斯军方情报机构有关,曾参与多起重大网络攻击。此攻击手法利用合法电子邮件流量,企业需关注异常的Outlook宏活动和注册表修改。
🎯
关键要点
- 网络安全公司Kroll发现APT28组织利用GONEPOSTAL恶意Outlook宏后门进行间谍活动。
- 该恶意软件通过DLL侧加载和VBA宏引擎建立隐蔽的命令控制通道。
- APT28与俄罗斯军方情报机构GRU有关,曾参与多起重大网络攻击。
- 攻击技术利用合法电子邮件流量,企业需关注异常的Outlook宏活动和注册表修改。
- 恶意软件通过修改Windows注册表强制Outlook加载恶意宏,形成隐蔽访问方式。
- 企业应重点监控异常的Outlook宏活动、可疑的注册表修改和非常规的电子邮件收发模式。
➡️
