疑似DuckTail组织针对性攻击活动分析

背景介绍近期山石网科捕获到了一批疑似与黑客组织DuckTail相关的针对数字营销人员进行的安全事件。Ducktail 组织由国外安全厂商于2022年披露，其攻击活动至少从2021年开始。组织活动以经济利益驱动，常针对Facebook Business账号展开窃密行 动，目的是操纵页面并获取财务信息。该组织的攻击目标覆盖全球多个国家，活动范围较广。事件概述在本次捕获到的事件中攻击者使用了压缩文件进行投递，通过压缩文件内的lnk快捷方法来加载远程服务器中的hta文件以完成执行的动作。详细分析初始载荷压缩包内包含的内容如下，为服装产品图以及一段mp4视频作为伪装，实际用于代码执行的为其中的快捷方式文件。载荷执行分析对lnk文件进行解析，可以看到在该快捷方式会调用powershell.exe来执行mshta，以加载远端服务器的hta文件。在hta文件中，使用十进制数加上 ………………………………