攻击者利用浏览器更新投递PowerNet加载器和NetSupport远控木马
内容提要
灰阿尔法黑客组织自2024年4月起通过伪造浏览器更新页面传播高级恶意软件PowerNet,利用社会工程学和技术手段成功感染多个行业的受害者,展现出强大的持续性和灵活性。
关键要点
-
灰阿尔法黑客组织自2024年4月起通过伪造浏览器更新页面传播高级恶意软件PowerNet。
-
该组织利用社会工程学和技术手段成功感染多个行业的受害者,展现出强大的持续性和灵活性。
-
攻击活动采用三种不同感染途径,主要通过伪造浏览器更新,其次是恶意的7-Zip下载站点和TAG-124流量分发系统。
-
攻击链最终部署NetSupport RAT,使攻击者能完全控制受感染系统。
-
灰阿尔法与FIN7网络犯罪集团存在关联,FIN7是技术复杂、攻击频繁的网络犯罪集团。
-
伪造的浏览器更新基础设施包含大量仿冒合法产品和服务的域名,涉及多个知名服务。
-
欺诈网站采用先进的指纹识别技术,在投递恶意载荷前对受害者系统进行画像。
-
PowerNet加载器是基于PowerShell的定制工具,负责解压并执行NetSupport RAT载荷。
-
浏览器更新感染途径结合了精密的社会工程学与技术手段,使用高级指纹识别脚本收集系统信息。
-
多阶段攻击方式使威胁行为者保持操作灵活性,最大限度规避安全产品检测,攻击活动已持续超过一年。
延伸问答
灰阿尔法黑客组织是如何传播PowerNet恶意软件的?
灰阿尔法黑客组织通过伪造浏览器更新页面传播PowerNet恶意软件,利用社会工程学和技术手段感染受害者。
PowerNet加载器的主要功能是什么?
PowerNet加载器是基于PowerShell的定制工具,负责解压并执行NetSupport RAT载荷。
灰阿尔法黑客组织与FIN7网络犯罪集团有什么关系?
灰阿尔法黑客组织与FIN7网络犯罪集团存在关联,后者是技术复杂、攻击频繁的网络犯罪集团。
攻击者是如何确保其恶意软件不被检测的?
攻击者通过多阶段攻击方式和防弹托管服务商来保持操作灵活性,最大限度规避安全产品检测。
伪造的浏览器更新页面是如何工作的?
伪造的浏览器更新页面使用高级指纹识别技术收集系统信息,决定是否投递恶意内容。
灰阿尔法黑客组织的攻击活动持续了多久?
灰阿尔法黑客组织的攻击活动已持续超过一年,自2024年4月起活跃。
