新闻中心 > 新闻详情

内存安全周报第26期 | 新的恶意软件滥用 GitHub 和 Imgur入侵系统

2021 年 01 月 04 日

嗨,2021年了,祝关注内存安全专栏的朋友「四季常安」。

过去的2020年,我们推出了25期内存安全周报栏目,我们用了「50个成语」,从「知己知彼,百战不殆」到「心中有数,料事如神」,我们为大家呈现当前发生过的与内存安全相关的事件,帮助更广泛的企业CSO、CIO以及安全负责人更好的理解和认识到内存安全问题。

或许你还不太了解内存攻击如何发生,或者你还没有意识到内存安全其实离你很近,互联网时代使得信息自由的同时,却也让我们淹没在数据当中,使得很多人看不清楚网络威胁发生在何处。然,今天不在你身边发生的事,不代表没发生。

关注内存安全,带你了解更多前沿、专业的安全知识,保护企业核心业务不被阻断,核心数据资产不被窃取。

新的恶意软件滥用 GitHub 和 Imgur入侵系统。

1月2日,与MuddyWater APT组织相关的新恶意软件被发现,它使用Word文件与宏下载在GitHub上托管的 PowerShell 脚本,该脚本从图像共享社区Imgur下载合法的图像文件,而Imgur被攻击者用来在Windows系统上解码Cobalt Strike脚本。

具体攻击过程

该恶意软件在旧版 Microsoft Word (*.doc) 文件中通过嵌入的宏传播。

1、打开Word文档后,该恶意软件将执行其嵌入的宏,宏启动powershell.exe并将执行托管在GitHub上的powershell脚本添加上去。

2、单行PowerShell脚本从Imgur下载一个PNG文件。在此图像中,下载的图像像素值由PowerShell脚本用于计算下一阶段的有效负载。

3、该恶意软件可以在PNG文件的像素范围内对PowerShell脚本进行编码,并使用一行命令执行有效载荷,从而将一个有效载荷隐藏在图像中。

4、这段恶意的载荷使用WinINet模块与C2服务器通信以获取进一步的指令。但是,C2服务器将不可访问。

新闻来源:

https://cyware.com/news/new-malware-strain-abuses-github-and-imgur-e29bc6f6

专家点评

#内存安全权威专家Linxer

使用 GitHub 和 Imgur 等合法服务可以让攻击者降低暴露的风险。建议企业谨慎防范此类攻击,向员工提供识别网络钓鱼电子邮件的培训,在不需要时禁用宏,使用可靠的防病毒软件,并经常更新所有软件和修补程序;如不能禁用宏,也可使用安芯神甲内存安全产品防护利用宏的恶意攻击,防御利用宏的一些无文件攻击。

隐私政策     法律信息     Copyright©️2019-2023 ANXINSEC All Rights Reserved | 京ICP备19024522号-1 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24