【安全资讯】新型多格式恶意软件袭击航空和卫星通信公司

概要：

近期，一种新型的多格式恶意软件在阿联酋的航空、卫星通信及关键交通组织中被部署，给相关企业带来了潜在的安全威胁。这种恶意软件名为Sosano，能够在受感染设备上建立后门，允许攻击者远程执行命令。此事件的发现引起了网络安全专家的高度关注，尤其是其背后可能的网络间谍活动。

主要内容：

这种多格式恶意软件的攻击活动由网络安全公司Proofpoint于2024年10月首次发现，攻击者被称为'UNK_CraftyCamel'。尽管该活动规模较小，但其复杂性和针对性使其对目标公司构成了严重威胁。研究人员指出，这些攻击与伊朗相关的TA451和TA455组织的操作存在相似之处，但此次活动更侧重于网络间谍行为。

多格式恶意软件的特点在于其能够将文件伪装成多种格式，从而绕过安全软件的检测。例如，攻击者通过伪装的电子邮件诱使受害者下载一个ZIP压缩包，压缩包内含有伪装成XLS的快捷方式文件和两个PDF文件。这些PDF文件不仅包含合法的PDF结构，还隐藏了恶意代码，利用HTA和ZIP格式进行攻击。

一旦执行了快捷方式文件，恶意代码便会被激活，建立与命令控制服务器的连接，等待进一步的指令。为了防范此类多格式威胁，企业需要采取多层次的防御措施，包括电子邮件扫描、用户教育和能够检测多种文件格式的安全软件。