通过CMD指令可以远程获取主机文件,进程等信息,下载,上传文件等操作,监控网络流量数据,如下所示:
这次钓鱼定向攻击,钓鱼攻击者冒充的发件人邮件信息:
wu.jinyan@dbappsecurtiy.com
很明显冒充了安恒的邮箱,安恒的邮箱地址后缀是dbappsecurity.com
这应该是一次有目的性,通过钓鱼邮件定向攻击目标,并进行远程控制的网络攻击行为,此次钓鱼邮件定向攻击同样采用”无文件”攻击手法,无落地PE文件,邮件附件中只包含一个HTA脚本文件,通过执行HTA脚本调用PowerShell执行所有的恶意操作
现在的钓鱼邮件攻击越来越多,各企业或网站的相关管理人员,一定要擦亮眼睛,以防被钓鱼攻击,不要轻易打开陌生的邮件以及附件。
IOC584437BC8063B64FB65D2882A7DDBD89
C&C
45.89.175.192
www2.netstorehosting.com
URL
hxxp://[.]com/pediy/error.hta
www2.netstorehosting[.]com/login/process.php
www2.netstorehosting[.]com/admin/get.php
www2.netstorehosting[.]com/news.php