新型后门程序利用polyglot文件传播
💡
原文中文,约2000字,阅读约需5分钟。
📝
内容提要
Proofpoint报告指出,威胁者利用polyglot文件对阿联酋关键基础设施企业实施鱼叉式钓鱼攻击,隐藏Sosano后门程序。攻击者通过入侵印度电子公司邮箱发送恶意邮件,利用信任关系诱骗目标。CISO需提高警惕,防止类似攻击扩散。
🎯
关键要点
- Proofpoint报告指出,威胁者利用polyglot文件对阿联酋关键基础设施企业实施鱼叉式钓鱼攻击。
- 攻击者通过入侵印度电子公司邮箱发送恶意邮件,利用信任关系诱骗目标。
- 后门程序被命名为Sosano,攻击目前可能仅限于阿联酋,但可能扩散到其他地区。
- 攻击者使用polyglot文件隐藏恶意软件,显示出其在目标选择和社交工程引诱方面的复杂性。
- 攻击的起源是攻击者入侵INDIC Electronics邮箱,利用信任关系向阿联酋企业发送邮件。
- 邮件中包含伪装成合法链接的恶意文件,利用双重扩展名和多语文件进行混淆。
- Sosano后门是用Golang编写的DLL文件,功能有限,具有逃避检测的机制。
- CISO和CIO应保护企业域名不被伪造,以防止类似攻击的发生。
❓
延伸问答
什么是polyglot文件,它在此次攻击中如何被利用?
polyglot文件是通过精心构建数据,使不同解析器对同一文件产生不同解释的文件。在此次攻击中,攻击者利用polyglot文件隐藏恶意软件,增加了攻击的隐蔽性。
Sosano后门程序的特点是什么?
Sosano后门是用Golang编写的DLL文件,功能有限,恶意代码量较少,具有逃避检测的机制,如随机休眠和使用伪随机数生成器。
此次攻击的目标是什么?
此次攻击主要针对阿联酋的关键基础设施企业,特别是航空、卫星通信和交通行业。
攻击者是如何入侵印度电子公司的邮箱的?
攻击者通过入侵INDIC Electronics的邮箱,利用该邮箱向阿联酋企业发送含有恶意链接的邮件。
CISO和CIO应如何防范类似攻击?
CISO和CIO应保护企业域名不被伪造,并提高警惕,防止类似的鱼叉式钓鱼攻击扩散。
此次攻击的传播方式是什么?
攻击者通过发送伪装成合法链接的恶意邮件,利用信任关系诱骗目标,邮件中包含混淆的多语文件。
➡️
