APT 组织也在利用云存储进行攻击

文章预览

研究人员发现，各类攻击者都在攻击行动中将恶意脚本、远控木马和诱饵文档等恶意文件上传到云服务器上，各种恶意文件组合起来完成恶意攻击。 某个攻击组织从发送钓鱼邮件到植入远控木马的过程如下所示： 攻击链 多个恶意文件串联起了整个攻击行动，因为所有文件都部署在云端，受害者可能还会下载分析人员不掌握的其他恶意软件。借助这些恶意软件，攻击者可以回传敏感信息等。 EXE 文件与 LNK 文件都是 APT 攻击中常用的文件，本文也以此类文件为例进行介绍。 通过 LNK 下载恶意软件 研究人员发现，LNK 文件伪装成 HTML 文件，还配备了引诱受害者点击的名称（Police Cyber Investigation Bureau – Internet Use History (check now to keep your PC safe).html.lnk）。 LNK 文件属性 LNK 文件包含 PowerShell 命令，解码 base64 编码的命令后会被保存在 TEMP 文件夹中的 ms_temp_08.p ………………………………