概述

  瑞星威胁情报平台捕获到BlindEagle组织近期的一个攻击事件。攻击者通过邮件发送给受害者一个加密的压缩包。压缩包解压之后是一个与压缩包同名的JS文件，当用户双击JS文件后会从远程服务器上下载第一阶段DLL，启动PowerShell反射加载第一阶段DLL，该DLL会下载解码得到第二阶段的DLL(注射器)，同时根据传入的参数中的地址下载AsyncRAT后门，接着使用第二阶段的DLL把后门注入到aspnet_compiler.exe中执行，根据国内外多家安全厂商披露，通过将本次攻击行动感染链与BlindEagle组织过往感染链的对比分析，将本次捕获到的攻击行动归属于BlindEagle组织具有高可信度。