近日,有黑客利用一种名为 Rhadamanthys 的信息窃取恶意软件发起网络钓鱼活动,专门针对石油和天然气行业。
Cofense研究员 Dylan Duncan 表示:这些钓鱼邮件使用了比较独特的车辆事故作为“诱饵”,并在感染链的后期阶段,用一个PDF文件诱骗联邦运输局,其中提到了对事故的巨额罚款。
据悉,该电子邮件附带的恶意链接利用了开放重定向漏洞,会将收件人重定向到一个托管了虚假 PDF 文档的链接,但实际上是一个图片,点击后会引导收件人下载包含窃取程序有效载荷的 ZIP 压缩包。
Rhadamanthys 用 C++ 编写,旨在与命令与控制(C2)服务器建立连接,以便从被入侵的主机上获取敏感数据。
Dylan Duncan 表示:这个活动是在执法部门摧毁LockBit勒索软件组织后几天内出现的。虽然这可能只是巧合,但趋势科技在 2023 年 8 月披露了一个 Rhadamanthys 变种,该变种捆绑了泄漏的 LockBit 有效载荷、剪切恶意软件和加密货币挖掘器。
该公司指出:黑客在 Rhadamanthys 捆绑软件中添加了信息窃取程序和 LockBit 勒索软件变种的组合,这可能表明该恶意软件仍在不断进化。
在出现 Sync-Scheduler 和 Mighty Stealer 等新的窃取程序恶意软件家族的同时,StrelaStealer 等现有病毒也在通过改进混淆和反分析技术不断发展。
在此之前,还出现了针对印度尼西亚的恶意垃圾邮件活动,该活动利用与银行业务相关的诱饵传播 Agent Tesla 恶意软件,以掠夺登录凭证、财务数据和个人文件等敏感信息。
Check Point称,2023 年11 月观察到的 Agent Tesla 网络钓鱼活动还将目标锁定了澳大利亚和美国,Check Point 将这些攻击行动归咎于两名非洲裔威胁行为者,追踪到的Bignosa(又名Nosakhare Godson和Andrei Ivan)和Gods(又名GODINHO或Kmarshal或Kingsley Fredrick),后者是一名网页设计师。
网络安全
以色列网络安全公司提到:Bignosa 似乎是一个针对组织机构实施恶意软件和网络钓鱼活动团伙的成员,美国和澳大利亚的电子邮件业务数据库也证实了这一点,同时也证实了Bignosa 的个人身份。
通过这些攻击链分发的 Agent Tesla 恶意软件现已被 Cassandra Protector 保护起来,该软件有助于保护软件程序免受逆向工程或修改行为的攻击。据调查,这些邮件均是通过一个名为 RoundCube 的开源网络邮件工具发送的。
Check Point 称:从这些黑客的行动描述中可以看出,在过去几年中最流行的恶意软件家族之一背后开展网络犯罪行动的准入门槛教低,只要是愿意通过垃圾邮件活动激怒受害者来启动恶意软件的人,都能通过这种方式实施网络钓鱼攻击。
