多国政府网络受恶意TeamViewer攻击，黑客疑为俄罗斯人

更多全球网络安全资讯尽在E安全官网www.easyaq.com

小编来报：TeamViewer最近成为了黑客攻击的利器。近日，俄罗斯黑客出于经济动机，对多国公共财政部门和政府官员发起了网络攻击。

据外媒报道，研究人员发现，俄罗斯黑客发起了新一轮网络攻击，他们使用武器化的TeamViewer破坏并完全控制多国政府网络系统。TeamViewer是目前流行的工具，可用于远程桌面控制、桌面共享、在线会议、web会议和计算机之间的文件传输。

根据整个感染链以及在这次攻击中开发和使用的工具，研究人员认为这次攻击是由俄罗斯黑客发起，且具有经济动机。

 

最近的恶意活动不断利用TeamViewer添加恶意TeamViewer DLL，来窃取政府和金融网络的敏感数据和资金。

 

感染链的初始阶段是发送以“军事融资项目”为主题的垃圾邮件，邮件中附带带有嵌入式宏的恶意XLSM文档。恶意文档伪装成美国国务院，说服目标查看最高机密。一旦目标打开文档并启用宏，XLSM文档的十六进制编码单元中就会提取出两个文件。

 

第一个文件是合法的AutoHotkeyU32.exe程序，第二个文件是AHK脚本AutoHotkeyU32.ahk，能与C&C服务器进行通信，下载并执行附加脚本。

 

研究人员发现有3个恶意的AHK脚本，可以执行以下活动：

hscreen.ahk：截屏受害者的电脑，并将截图上传到C&C服务器。

hinfo.ahk：发送受害者的用户名和计算机信息到C&C服务器。

htv.ahk：下载恶意版本的TeamViewer，运行并将登录凭证发送到C&C服务器。

 

攻击者使用DLL side-loading技术加载TeamViewer DLL（htv.ahk）。这种技术允许攻击者向TeamViewer中添加更多功能。攻击者可将TeamViewer接口隐藏在用户视图之外，将当前TeamViewer会话凭据保存到文本文件中，并允许传输和执行额外的EXE o DLL文件。

 

根据Checkpoint研究，一旦攻击者通过恶意TeamViewer获得远程访问权限，AutoHotKey脚本便从受感染的计算机上上传截图。这次袭击的目标包括尼泊尔、圭亚那、肯尼亚、意大利、利比里亚、百慕大群岛、黎巴嫩公共财政部门和政府官员。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com

推荐阅读：

• 银行大盗Carbanak源代码公布两年，竟无人知？

• 美日联合声明，网络攻击将被视为武装攻击

• WannaCry英雄认罪，或面临最高十年监禁

• 漏洞预警 | Oracle WebLogic多个安全漏洞预警

• B站网站后台工程源码疑似泄露 内含部分用户名密码

• 美前官员：俄罗斯是美国最大的网络威胁

▼点击“阅读原文” 查看更多精彩内容

喜欢记得打赏小E哦！