APT-C-48（CNC）组织攻击利用pub文件攻击活动分析

APT-C-48  CNCAPT-C-48 （CNC）组织是于2019年新出现的组织，由于其使用的远程控制木马的PDB包含了“cnc_client“的字样，所以将该组织命名为CNC，该组织主要攻击对象为我国军工和教育行业。去年年初我国疫情爆发初期，CNC组织通过伪造疫情相关的文档以及钓鱼网站对医疗行业发起攻击。今年以来我们曾多次捕获该组织持续对我国多所科研机构进行攻击行为。近日，我们捕获到该组织针对我国科研机构的又一起攻击事件。一. 攻击活动分析攻击流程分析：在本次攻击活动中，CNC组织使用的攻击流程如下：样本分析：从捕获的文件来看，显然攻击者投递的是一份伪装为出版物的”.pub”文件。      在pub文件中，通过恶意宏从服务器下载后续程序和脚本文件到本地执行。不幸 ………………………………