潜藏系统2个月未被发现,新型网络攻击瞄准中国高价值目标
内容提要
最近,针对中文企业的网络攻击活动引起广泛关注。攻击者使用Cobalt Strike载荷,通过鱼叉式钓鱼和隐蔽通信手段成功渗透和控制目标系统。攻击代号为SLOW#TEMPEST,尚未归因于任何已知的威胁行为者。攻击导致数据泄露、系统控制和业务中断等问题。近年来,中国企业遭受的网络攻击频次和强度增加,受害行业多样化,新型攻击手段不断涌现。
关键要点
-
针对中文企业的新一轮网络攻击活动引起广泛关注。
-
攻击者使用Cobalt Strike载荷,通过鱼叉式钓鱼和隐蔽通信手段成功渗透目标系统。
-
攻击代号为SLOW#TEMPEST,尚未归因于任何已知的威胁行为者。
-
攻击导致数据泄露、系统控制和业务中断等问题。
-
攻击者通过发送恶意ZIP文件和钓鱼邮件诱导受害者下载恶意文件。
-
攻击者在系统内横向移动,建立持久性,并在两个月内未被发现。
-
使用定期执行的恶意文件任务,攻击者在内存中运行任意shellcode,留下最小足迹。
-
攻击者通过提升内置访客用户帐户的权限,隐藏在系统中。
-
使用远程桌面协议(RDP)和Mimikatz工具在网络中横向移动。
-
Cobalt Strike支持多种通信协议,确保C2通信的隐蔽性和稳定性。
-
Cobalt Strike Payloads支持多种语言和操作系统,具有本地化支持。
-
攻击者通过Cobalt Strike获取敏感数据,控制系统行为,导致业务中断。
-
2024年上半年,针对中文企业的网络攻击频次和强度增加,受害行业多样化。
延伸问答
SLOW#TEMPEST攻击的主要手段是什么?
攻击者使用Cobalt Strike载荷,通过鱼叉式钓鱼和隐蔽通信手段渗透目标系统。
这次网络攻击对受害企业造成了哪些影响?
攻击导致数据泄露、系统控制和业务中断,给企业带来经济损失。
攻击者是如何在系统内保持隐蔽的?
攻击者通过提升内置访客用户帐户的权限和定期执行恶意文件任务,隐藏在系统中。
Cobalt Strike的通信协议有哪些?
Cobalt Strike支持HTTP、HTTPS、DNS和SMB等多种通信协议,确保通信的隐蔽性和稳定性。
针对中文企业的网络攻击频次和强度有什么变化?
2024年上半年,针对中文企业的网络攻击频次和强度均有所增加,受害行业多样化。
攻击者是如何诱导受害者下载恶意文件的?
攻击者通过发送精心设计的钓鱼邮件,诱导受害者下载并执行恶意ZIP文件。
