图片来源:
Securonix
资安业者Securonix揭露一旦收信人依照指示开启附件,攻击者就会利用wscript.exe启动out_czlrh.js,电脑便会连线到特定的网路共享资料夹下载MSI安装档并执行。
此MSI档会连结攻击者控制的网域,并利用rundll32.exe取得SSLoad有效酬载,收集受害主机资讯。
接著,对方利用Cobalt Strike进行侦察工作,然后下载、部署ScreenConnect,从而让攻击者远端存取受害电脑。
借由远端管理工具完全控制电脑,攻击者尝试收集相关帐密资料,并将目标转向网域控制器,最终建立自己的网域管理员帐号,来危害受害组织的网域。