当前位置: 网站首页 >> 信息安全 >> 网络安全 >> 正文
“Bandook”木马程序出现使用合法数字签名的新变种

发布时间:2020-12-29 09:37 浏览:

2020年11月26日,以色列网络安全企业CheckPoint公司发布报告称,发现名为“Bandook”的Windows平台木马程序在近一年的时间里出现了数十个拥有合法的数字签名的新变种。这些新变种通过带有恶意脚本的Word文档进行传播,主要针对新加坡、塞浦路斯、智利、意大利、美国、土耳其、瑞士、印度尼西亚和德国等国家和地区的政府、金融、能源、食品工业、医疗保健、教育、IT和法律机构进行攻击。 “Bandook”恶意程序通过zip文件中的恶意Word文档进行传播,恶意文档是由嵌入式加密的恶意脚本和指向包含恶意VBA宏的文档的外部模板组成的。该恶意程序可以连接命令和控制服务器、发送被感染设备信息、接收并执行来自服务器的指令。之前的版本可以支持120条指令,此次发现的新变种仅支持11条,其中包括文件操作、屏幕截取、上传文件等。 “Bandook”恶意程序具有13年的历史,分别在2015年和2017年出现在“Operation Manul”和“Dark Caracal”两次攻击活动中,这两次攻击活动可能与哈萨克斯坦和黎巴嫩政府有关。分析人员称,虽然“Bandook”恶意程序的攻击目标尚未涉及我国,但仍对我国用户存在潜在威胁。建议我国政府、金融、能源、食品工业、医疗保健、教育、IT和法律机构采取以下措施予以防范,一是不轻易打开来历不明的压缩文件和Word文档;二是除非必要情况,禁用office宏命令功能;三是不在可连接互联网的的设备中储存和处理重要文件。

本文来源;国家计算机病毒应急处理中心