【安全资讯】针对多个行业的Bandook恶意软件

研究人员在昨天发布的一份新报告中指出，隶属于一个名为Dark Caracal的黑客组织在过去一年里部署了“几十个数字签名变种”的Bandook Windows木马，因此再一次“重新激起了人们对这个古老的恶意软件家族的兴趣”。

黑客组织针对的不同垂直行业包括智利、塞浦路斯、德国、印度尼西亚、意大利、新加坡、瑞士、土耳其和美国的政府、金融、能源、食品工业、医疗保健、教育、IT和法律机构。Bandook的新变种是该恶意软件的精简版，仅支持11条命令，而先前版本已知可支持多达120条命令。

攻击的感染链可以分为三个主要阶段。

第一阶段在ZIP文件中传送的恶意Microsoft Word文档开始。打开文档后，即可使用外部模板功能下载恶意宏。宏代码执行攻击的第二阶段，即在原始Word文档中加密的PowerShell脚本。最后，PowerShell脚本下载并执行感染的最后阶段：Bandook后门。

  完整的感染链 

Bandook精简版支持的命令列表如下。 

这个组织至少从2012年开始运作，研究人员认为该组织背后的归属与黎巴嫩政府有联系。