近日,工業和信息化部網絡安全威脅和漏洞信息共享平臺(CSTIS)監測發現NordDragonScan惡意軟件持續活躍,其主要攻擊目標為Windows用戶,可能導致敏感信息泄露、系統受控等風險。
NordDragonScan是一種針對Windows系統的高級信息竊取型木馬(infostealer),攻擊者通過短鏈接(將冗長網址壓縮成簡短字符形式以方便傳播且能隱藏真實網址信息的鏈接。)服務誘導用戶跳轉至偽裝成文件共享平臺的惡意網站,自動下載含惡意LNK快捷方式的RAR壓縮包,用戶雙擊后,會調用Windows原生命令行工具mshta.exe執行嵌入的HTML應用程序(HTA)腳本,將PowerShell.exe復制到公共目錄并偽裝為”install.exe”以繞過安全檢測。木馬安裝后可執行多項惡意行為:定期截屏并提取瀏覽器敏感數據,搜索桌面、文檔等目錄的文檔文件,通過修改注冊表實現自啟動。此外,NordDragonScan可通過自定義HTTP頭與C2服務器”kpuszkiev.com”建立加密TLS連接,進行數據回傳與持續通信,并具備內網掃描與橫向滲透能力,探測本地局域網設備,識別存在安全漏洞的主機,進一步擴大感染風險。
建議相關單位和用戶立即組織排查,謹慎處理不明來源的.LNK快捷方式和壓縮包,及時更新防病毒軟件,實施全盤病毒查殺,并可通過及時修復安全漏洞、定期備份數據等措施,防范網絡攻擊風險。