一个危险的新型网络犯罪组织已被确认,目标是亚太地区的政府机构和军事组织。
据多家发现该威胁行为者的网络安全公司称,该威胁行为者似乎在使用非正统的策略从目标端点获取敏感信息(在新标签页打开).
两家网络安全公司最初追踪了攻击者:Group-IB和安恒狩猎实验室(Anheng Hunting Labs)。前者叫“Dark Pink”,后者叫“Saaiwc”。无论名称如何,黑客使用鱼叉式网络钓鱼攻击进行初始部署,并使用感染的USB驱动器进行传播。
滥用已知缺陷
鱼叉式网络钓鱼邮件通常是虚假的工作申请,旨在诱骗受害者下载武器化的ISO文件。这些文件将利用一个被跟踪为CVE-2017-0199 (Office/WordPad远程代码执行漏洞)的已知高严重漏洞来部署Ctealer或Cucky(自定义信息窃取器)。他们随后会部署一个名为TelePowerBot的注册表植入。
在部署KamiKakaBot时,观察到了一种独特的方法,该方法旨在读取和执行命令。
Cucky和Ctealer的设计目的都是窃取当前大多数流行浏览器的密码、浏览历史、保存的凭据和cookie(以及其他许多浏览器)。此外,该组织还可以访问信使应用程序,窃取文件,并通过连接到受感染设备的麦克风获取音频。
在感染期间,威胁行为者会执行几个标准命令(例如net share、Get-SmbShare)来确定哪些网络资源连接到受感染的设备。如果发现网络磁盘的使用情况,他们将开始探索这个磁盘,以找到他们可能感兴趣的文件,并可能将其窃取,”Group-IB解释说。
研究人员说,在2022年下半年,该组织至少成功发动了七次攻击。
所有7个组织(其攻击已被证实)都已收到攻击通知,并已获得如何进行攻击的提示。研究人员表示,该组织很有可能已经破坏了更多的组织,但尚未得到证实。
通过:哔哔的电脑(在新标签页打开)
