蹭“新冠病毒”热点，一群黑客对蒙古国下手了

最后更新：2020-03-24 13:07:45 手机定位技术交流文章

最近，网络安全公司Check Point的研究人员发现了针对蒙古公共部门的黑客攻击。攻击者试图利用人们目前对新型冠状病毒的担忧，在目标计算机上安装一种以前从未公开报道过的新型恶意软件。

经过深入调查，研究人员还将这一活动与同一黑客组织开展的其他活动联系起来(至少可以追溯到2016年)多年来，这些活动针对许多国家/地区的不同部门，包括乌克兰、俄罗斯和白俄罗斯

诱饵文件

检查点调查从两个可疑的RTF文件开始这些文件的内容都是用蒙古语写的，其中一份声称来自蒙古外交部。

图1。文档

图2。文档

对与购买计划相关的文档

的分析表明，这两个文档都是使用名为“RoyalRoad”(也称为“8.t”)的7.x版工具进行武器化的据称，

允许攻击者创建带有嵌入对象的自定义文档，从而利用了微软Word的公式编辑器漏洞一旦

受感染链

恶意RTF文件被打开，它将试图利用此漏洞将名为“英特尔. wll”的文件释放到Word启动文件夹“%APPDATA%MicrosoftWordSTARTUP”中

每次微软Word启动时，Word启动文件夹中所有扩展名为“wll”的动态链接库文件也会启动，触发如下图所示的感染链

图3。加载感染链

后，英特尔. wll将从C2服务器之一下载并解密感染链的下一阶段文件(另一个名为“minisdllpub.dll”的DLL文件)，该服务器用作恶意软件框架的主加载程序。

在感染链的最后阶段，恶意加载程序以动态链接库文件的形式下载并解密RAT模块，然后将其加载到内存中

值得一提的是，这个RAT模块不同于以前公开报道的任何远程控制木马，但它仍然保留了大多数RAT核心功能，如

截图枚举文件和目录创建或删除目录移动或删除文件下载文件创建和执行新的进程以获得所有服务列表

RAT模块不直接接收来自C2服务器的命令。但通过上述minisdllpub.dll，完整的命令和相应的功能如下:

图4。RAT模块

支持的命令和功能结论

在这次新发现的黑客攻击活动中，攻击者试图利用社交热点来提高目标打开恶意文件的概率，并使用新定制的恶意软件。

从检查点目前收集的证据来看，这一活动也可能是针对政府的持续攻击的最新一次(相关活动可追溯到2016年)

尽管攻击者的最终目标仍不确定，但他们显然会采取后续行动，尽一切努力在目标更明确的计算机上安装恶意软件。