新型網絡釣魚活動正在針對油氣行業,利用一種叫Rhadamanthys的進階資訊竊取惡意軟體。Cofense的研究員Dylan Duncan表示,這些釣魚郵件使用了一種獨特的交通事故誘餌,並在感染鏈的後期階段模擬美國聯邦運輸局,在一份PDF文件中提到一筆巨額罰款。
郵件附有一個惡意鏈接,利用一個開放重定向漏洞將收件人引導到一個托管所謂PDF文件的鏈接,但實際上卻是一個下載ZIP歸檔的圖像。這個ZIP歸檔包含了Rhadamanthys這個資訊竊取程式的有效荷載。Rhadamanthys是用C++編寫的,它的目的是與命令與控制(C2)伺服器建立連接,從而從被感染的主機上收集敏感數據。
"這個活動出現在LockBit勒索軟體組織被執法部門打擊之後不久,"Duncan說。"雖然這可能只是巧合,但Trend Micro在2023年8月發現了一個Rhadamanthys變種,它捆綁了一個泄露的LockBit有效荷載,以及一個剪藏器惡意軟體和加密貨幣挖礦程式。"
這表明Rhadamanthys惡意軟體在不斷進化,威脅行為者將信息竊取程式和勒索軟體捆綁在一起,反映了這種惡意軟體的持續進化。
這一發展發生在新型資訊盜竊惡意軟體家族,如Sync-Scheduler和Mighty Stealer不斷湧現的背景下,而現有的惡意軟體如StrelaStealer也在不斷進化,增強了混淆和反分析功能。
這種趨勢也呼應了一起針對印尼的惡意垃圾郵件活動,該活動使用銀行相關的誘餌來傳播Agent Tesla惡意軟體,以盜取登錄憑證、金融數據和個人文件等敏感信息。
Check Point公司稱,2023年11月觀察到的Agent Tesla釣魚活動也瞄準了澳大利亞和美國,並將其歸因於兩名非洲裔威脅行為者,分別是Bignosa(又名Nosakhare Godson和Andrei Ivan)和Gods(又名GODINHO或Kmarshal或Kingsley Fredrick),後者是一名網頁設計師。
Check Point表示,"主要行為者\[Bignosa\]似乎是一個運營惡意軟體和釣魚活動的團夥的一部分,他們瞄準的是組織,這從美國和澳大利亞的電子郵件業務數據庫以及個人可以得到証實。"
這些活動中傳播的Agent Tesla惡意軟體被發現使用Cassandra Protector進行保護,以防止逆向工程或修改。這些郵件是通過一個開源的網絡郵件工具RoundCube發送的。
Check Point表示,"從這些威脅行為者的活動描述來看,開展這種多年來最為常見的惡意軟體家族的網絡犯罪行為並不需要什麼高深的學位,這是因為參與門檻很低,只要有人願意通過垃圾郵件活動來誘導受害者啟動惡意軟體,就可以這樣做。"
總的來說,這些最新的網絡釣魚活動表明,對於油氣行業等關鍵領域,網絡威脅仍在不斷演化和升級。先進的資訊竊取惡意軟體與勒索軟體相結合的手法,以及針對性的社交工程攻擊手段,都給目標行業帶來了嚴重的安全隱患。企業需要持續關注網絡安全動態,加強防禦能力,防範此類威脅。同時,政府和執法部門也應該加大打擊力度,遏制此類網絡犯罪行為的蔓延。
詳情請看:
New Phishing Campaign Targets Oil & Gas with Evolved Data-Stealing Malware