“幻蓝行动”报告：黑客制作恶意 Office 文档，分发窃取用户敏感数据

3 月 20 日消息，以色列网络安全公司 Perception Point 近日发布报告，公布了关于“幻蓝行动”（Operation PhantomBlu）的最新追踪调查报告。o8q28资讯网——每日最新资讯28at.com

o8q28资讯网——每日最新资讯28at.com

“幻蓝行动”是指近期针对美国企业的网络钓鱼活动，黑客制作携带有 NetSupport RAT 木马的微软 Office 文件，并通过邮件方式分发，吸引用户点击打开，从而远程窃取敏感数据。o8q28资讯网——每日最新资讯28at.com

NetSupport RAT 源自合法的远程桌面工具 NetSupport Manager，是一种恶意软件，网络犯罪分子通常利用该工具，在已经被入侵的终端上搜刮各种数据。o8q28资讯网——每日最新资讯28at.com

o8q28资讯网——每日最新资讯28at.com

黑客首先会制作一封以工资为主题的钓鱼邮件，看起来像是由会计团队发送的。它要求收件人打开所附的 Microsoft Word 文档，查看每月工资报告。o8q28资讯网——每日最新资讯28at.com

安全团队检查电子邮件标题（主要是 Return-Path 和 Message-ID 字段）后发现，黑客使用了一个名为 Brevo（以前称为 Sendinblue）的有效电子邮件营销平台来发送电子邮件。o8q28资讯网——每日最新资讯28at.com

o8q28资讯网——每日最新资讯28at.com

受害者打开 Word 文档时，系统会要求他们输入电子邮件正文中提到的密码并启用编辑功能。然后，他们双击文档中嵌入的打印机图标，查看工资图表。o8q28资讯网——每日最新资讯28at.com

o8q28资讯网——每日最新资讯28at.com

后续该文件会解压名为 Chart20072007.zip 的 ZIP 压缩文件，其中包含一个 Windows 快捷方式文件，该文件可用作 PowerShell 驱动器，从远程服务器检索并执行 NetSupport RAT 安装文件。o8q28资讯网——每日最新资讯28at.com

o8q28资讯网——每日最新资讯28at.com

PhantomBlu 使用加密的 .doc 文件，通过 OLE 模板和模板注入的方式发送 NetSupport RAT，这标志着 PhantomBlu 与通常与 NetSupport RAT 部署相关的传统 TTP 的不同，并添加了更新的技术，展示了 PhantomBlu 在将复杂的规避策略与社交工程相结合方面的创新。o8q28资讯网——每日最新资讯28at.com

o8q28资讯网——每日最新资讯28at.com

o8q28资讯网——每日最新资讯28at.com

IT酷哥附上参考地址o8q28资讯网——每日最新资讯28at.com

Operation PhantomBlu: New and Evasive Method Delivers NetSupport RATo8q28资讯网——每日最新资讯28at.com

本文链接：http://www.28at.com/showinfo-26-77996-0.html“幻蓝行动”报告：黑客制作恶意 Office 文档，分发窃取用户敏感数据

声明：本网页内容旨在传播知识，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。邮件：2376512515@qq.com

上一篇： 中低端机最受伤：网页动辄 21MB，加载时间 33 秒有时还无法加载

下一篇： 亚马逊放出两分钟《辐射》真人电视剧正片片段