以军事为主题的电子邮件骗局传播恶意软件感染巴基斯坦用户

网络安全研究人员揭示了一种新的网络钓鱼活动，该活动已被确定为使用定制后门针对巴基斯坦人。

Securonix将其称为PHANTOM#SPIKE，该活动背后的未知威胁参与者利用与军事相关的网络钓鱼文件来激活感染序列。

研究人员Den Iuzvyk、Tim Peck和Oleg Kolesnikov在与the Hacker News分享的一份报告中表示:“虽然现在有很多方法可以部署恶意软件，但攻击者利用的是ZIP文件，其中包含有密码保护的有效载荷存档。”

该活动因其缺乏复杂性和使用简单的有效负载来实现对目标机器的远程访问而引人注目。

这些电子邮件带有一个ZIP档案，据称是与2024年国际军事技术论坛陆军有关的会议纪要，这是俄罗斯联邦国防部组织的一个合法活动。奥运会将于2024年8月中旬在莫斯科举行。

ZIP文件中包含一个Microsoft Compiled HTML Help (CHM)文件和一个隐藏的可执行文件(“RuntimeIndexer.exe”)，当打开前者时，前者显示会议纪要以及一些图像，但一旦用户单击文档的任何位置，它就会悄悄地运行捆绑的二进制文件。

可执行文件被设计成一个后门，通过TCP与远程服务器建立连接，以便检索随后在受损主机上运行的命令。

除了传递系统信息外，它还通过cmd.exe执行命令，收集操作的输出，并将其泄露回服务器。这包括运行像systeminfo, tasklist, curl这样的命令来使用IP -api[提取公共IP地址。]com和schtasks来设置持久性。

研究人员说:“这个后门本质上是一个基于命令行的远程访问木马(RAT)，它为攻击者提供了对受感染系统的持久、隐蔽和安全的访问。”

“远程执行命令并将结果传回C2服务器的能力允许攻击者控制受感染的系统，窃取敏感信息或执行额外的恶意软件有效载荷。”

原文始发于微信公众号（HackSee）：以军事为主题的电子邮件骗局传播恶意软件感染巴基斯坦用户