冒充安恒信息对看雪论坛的一次定向钓鱼攻击(2)

通过CMD指令可以远程获取主机文件，进程等信息，下载，上传文件等操作，监控网络流量数据，如下所示：

这次钓鱼定向攻击，钓鱼攻击者冒充的发件人邮件信息：

wu.jinyan@dbappsecurtiy.com

很明显冒充了安恒的邮箱，安恒的邮箱地址后缀是dbappsecurity.com

这应该是一次有目的性，通过钓鱼邮件定向攻击目标，并进行远程控制的网络攻击行为，此次钓鱼邮件定向攻击同样采用”无文件”攻击手法，无落地PE文件，邮件附件中只包含一个HTA脚本文件，通过执行HTA脚本调用PowerShell执行所有的恶意操作

现在的钓鱼邮件攻击越来越多，各企业或网站的相关管理人员，一定要擦亮眼睛，以防被钓鱼攻击，不要轻易打开陌生的邮件以及附件。

584437BC8063B64FB65D2882A7DDBD89

C&C

45.89.175.192

www2.netstorehosting.com

URL

hxxp://[.]com/pediy/error.hta

www2.netstorehosting[.]com/login/process.php

www2.netstorehosting[.]com/admin/get.php

www2.netstorehosting[.]com/news.php