根据The Hacker News的报道,中国各地的组织正遭到针对Windows系统的新一轮隐秘攻击,这种攻击被称为SLOW#TEMPEST,并且使用了Cobalt Strike有效载荷。
攻击者通过发送包含恶意ZIP文件的网络钓鱼邮件,诱使用户下载伪装成远程控制软件法规违规名单的Word伪造LNK文件。根据Securonix的报告,这种伪造文件便于部署Microsoft二进制文件和包含Cobalt Strike的DLL文件。除了实现隐蔽而持久的主机访问,允许进一步的有效载荷部署外,Cobalt Strike的执行还可以实现特权升级,通过远程桌面协议进行横向移动,以及通过Mimikatz工具进行凭证外泄。
研究人员表示:“虽然没有确凿证据将此次攻击与任何已知的APT团体关联,但很可能是由一位经验丰富的威胁演员策划的,他在使用Cobalt Strike等先进的利用框架以及一系列其他后期利用工具方面有丰富经验。”
这种攻击方式提醒我们保持警惕,加强网络安全防护措施,以防止类似入侵事件的发生。
