研究：无档案攻击、DNS PowerShell攻击疑是同一骇客组织所为

安全业者Morphisec研究人员发现一桩 恶意Word网钓攻击 ，可能和今年以来接连几桩重大攻击一样，出自一个名为Fin7的骇客组织。

Morphisec在3月8日调查一个利用透过网钓邮件传送包含恶意巨集的Word档案，对特定知名企业进行无档案攻击。

骇客的网钓邮件附上具有恶意巨集的Word文件档，诱骗使用者开启文件。文件开启后即启动巨集，并利用Windows Management Instrument 执行PowerShell代理程式，之后开启后门，并与外部C&C服务器建立通讯。

安全公司研究骇客C&C服务器上的脚本物件后，发现它与3月初 思科侦测到 的Talos部门发现的PowerShell无档案攻击所用的服务器十分类似。而其他脚本语言及物件则可追溯到2月初 卡巴斯基发现到 攻陷大型银行、电信及政府机构的Meterpreter无档案攻击恶意程式，以及近日FireEye发现专门窃取处理美国证管会文件的人员的恶意程式。FireEye认为这桩攻击和Fin7组织有关。

研究人员发现C&C服务器三天来发出多种不同攻击指令，有的是完全无档案的攻击，有的则是发出密码窃取工具LaZagne、Mimikatz及Cmd等工具的控制程式，以及Python执行档等。研究人员并指出，这起攻击行动手法相当高明，仅锁定少数特定知名企业避免曝光，且透过WMI执行PowerShell指令，因此甚难被防毒软件侦测到。

Morphisec在调查期间和骇客有过短暂交手。研究人员曾经透过攻击使用的PowerShell协定和骇客通讯，对方发现后即立即封锁了研究人员使用的其中一个IP，随后就完全关闭这台C&C服务器。所幸关闭C&C服务器后，也切断了它控制受害者的管道，暂时阻止后续一连串攻击的发生。