概述

  瑞星威胁情报平台捕获到一起疑似针对澳大利亚的攻击事件。攻击者将诱饵文档伪装成商业发票，通过邮件发送给受害者。当受害者运行快捷方式文件后，会访问远程上的hta脚本，解码出一段PowerShell的脚本来执行，该脚本会下载诱饵文档到受害主机上，并且打开它迷惑用户；同时会下载使用Autoit编写的LodaRAT后门。据国内外多家安全厂商披露，该后门疑似是由Kasablanka组织所开发，是其特有的攻击武器，通过将本次攻击行动感染链与Kasablanka组织过往感染链的对比分析，将本次捕获到的攻击行动归属于Kasablanka组织具有高可信度。