近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现NordDragonScan恶意软件持续活跃,其主要攻击目标为Windows用户,可能导致敏感信息泄露、系统受控等风险。
NordDragonScan是一种针对Windows系统的高级信息窃取型木马(infostealer),攻击者通过短链接(将冗长网址压缩成简短字符形式以方便传播且能隐藏真实网址信息的链接。)服务诱导用户跳转至伪装成文件共享平台的恶意网站,自动下载含恶意LNK快捷方式的RAR压缩包,用户双击后,会调用Windows原生命令行工具mshta.exe执行嵌入的HTML应用程序(HTA)脚本,将PowerShell.exe复制到公共目录并伪装为"install.exe"以绕过安全检测。木马安装后可执行多项恶意行为:定期截屏并提取浏览器敏感数据,搜索桌面、文档等目录的文档文件,通过修改注册表实现自启动。此外,NordDragonScan可通过自定义HTTP头与C2服务器"kpuszkiev.com"建立加密TLS连接,进行数据回传与持续通信,并具备内网扫描与横向渗透能力,探测本地局域网设备,识别存在安全漏洞的主机,进一步扩大感染风险。
建议相关单位和用户立即组织排查,谨慎处理不明来源的.LNK快捷方式和压缩包,及时更新防病毒软件,实施全盘病毒查杀,并可通过及时修复安全漏洞、定期备份数据等措施,防范网络攻击风险。
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
