网站首页 > 食品安全> 文章内容

腾讯安全预警:Gorgon以PPT为诱饵投递邮件政企用户需高度

※发布时间:2021-3-9 17:59:57   ※发布作者:habao   ※出自何处: 

  梦见和死去的亲人说话病毒木马无孔不入,如今连PPT也难逃“”。日前,腾讯安全情报中心检测到多个企业受到以PPT文档为诱饵的钓鱼邮件。经分析发现,该由Gorgon黑产组织发起,被投递的PPT文档中均包含恶意宏代码,用户一旦打开就会启动恶意程序下载Azorult窃密木马,导致账号密码丢失、信息泄漏等严重后果。腾讯安全提醒企业及个人用户提高、注意防护。

  在事件中,一旦用户点击运行含有恶意代码的PPT,宏代码就会启动mshta执行保存在pastebin上的远程脚本代码。在后续阶段,者会通过计划任务下载RAT木马,然后将其注入指定进程执行,RAT会不定期更换。从当前捕获到的样本来看主要为Azorult窃密木马,用户被感染后,者将能获取机器上的各类账号密码,如电子邮件帐户、通信软件、Web Cookie、浏览器历史记录和加密货币钱包等,同时还能上载和下载文件、进行截屏操作,危害极大。

  腾讯安全通过对活动详细分析发现,此次者注册的pastebin账号”lunlayloo”与另一个账号“hagga”对应事件中使用的TTP高度相似,基本可以断定两者属于同一家族ManyaBotnet。同时,基于高水平的TTP技术,专家认为此次与Gorgon Group黑产组织有关。此前,该组织已对包括英国、西班牙、俄罗斯和美国在内的多个组织进行针对性,影响广泛。

  腾讯安全专家指出,Gorgon Group为专业的黑客组织,擅长大型企业、行业及有背景的机构组织,一旦攻陷系统危害极大,因此企业采用安全厂商的专业解决方案提升系统安全性,防止黑客组织。

  腾讯安全针对Gorgon组织的各类手段构建了涵盖情报、边界防护、终端在内的立体防御体系,打造发现、分析、处置的安全闭环。在情报方面, T-Sec情报云查服务、T-Sec高级追溯系统已支持Gorgon 组织的相关信息和情报,可智能识别安全,追溯网络入侵源头。在边界防护上,云防火墙已同步支持Gorgon Group相关联的IOCs识别和拦截,同时T-Sec高级检测系统可基于网络流量进行检测,及时发现安全风险。在终端安全上,T-Sec主机安全、T-Sec终端安全管理系统能实现对云上终端和企业终端的防毒杀毒、防入侵、漏洞管理和基线管理,目前已支持查杀Gorgon Group组织的后门木马程序、恶意Office宏代码,拦截Powershell执意脚本等。对于个人用户,腾讯电脑管家也已支持对Gorgon Group黑产团伙病毒木马的查杀,用户可予以安装,加强防护。

  

关键词:有关安全的ppt