多阶段 APT 攻击使用 C2 功能降低 Cobalt Strike

6月10日，我们发现了一个伪装成简历的恶意Word文档，它使用模板注入来删除一个Net Loader。这是我们认为是APT攻击的一个部分，在最后阶段，威胁者使用Cobalt Strike的C2特性下载最终的有效载荷并执行C2通信。

这次袭击因为它的躲避技巧显得特别聪明。如我们观察到在执行来自恶意Word宏的有效负载时存在故意延迟。此外，通过将shell代码隐藏在一个无害的 JavaScript中并在不触及磁盘的情况下加载它，APT可以进一步阻止安全检测。

…

更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1248/

消息来源：malwarebyte，译者：dengdeng。
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接