AveMaria 传播手段的更改

Ave Maria是其中最古老的一种间谍软件，攻击者越来越喜欢使用其进行攻击，运营方也一直在持续更新和升级。在过去六个月中，研究人员观察到 AveMaria 的传播手段发生了许多变化。

攻击者冒充俄罗斯政府的名义发送会议通知的钓鱼邮件，带有 .vhdx附件文件。

攻击者还使用了另一种变体的攻击链，但由于未能获取到原始的电子邮件，无法准确推断如何投递的载荷。

攻击链中使用的自定义下载器从第三方文件共享网站下载加密文件，在内存中下载并通过硬件解密后即可执行，Payload 操作具有较好的攻击检测或者说逃避攻击的性。

攻击者利用高度混淆的 AutoIT 脚本来解密内存中的 AveMaria 二进制文件，然后执行 Payload。AutoIT 脚本被嵌入自执行的压缩文件中，其主要组成部分有：

Vbscript：执行沙盒与杀软模拟环境检查并向解释器提供 Autoit 脚本

AutoIT 解释器：运行脚本

AutoIT 脚本：包含高度混淆的 Payload 解密与恶意软件执行逻辑

本次攻击行动中，攻击者邀请收件人为身份不明的投标人提交有竞争力的报价，附件为恶意 ZIP 压缩文件。这些文件包含大量可能导致电脑瘫痪的代码，其中包括勒索病毒的一部分。该公司表示，已经发现了一个漏洞，可以利用该漏洞进行攻击。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!