网络安全研究人员详细介绍了 2024 年 5 月期间针对波兰中小型企业 (SMB) 的广泛网络钓鱼活动,这些活动导致部署了 Agent Tesla、Formbook 和 Remcos RAT 等多个恶意软件家族。据网络安全公司ESET称,这些活动针对的其他一些地区包括意大利和罗马尼亚。“攻击者使用以前被入侵的电子邮件帐户和公司服务器,不仅传播恶意电子邮件,而且还托管恶意软件并收集被盗数据,”ESET研究员Jakub Kaloč在今天发布的一份报告中说。这些活动分布在九波中,以使用名为 DBatLoader(又名 ModiLoader 和 NatsoLoader)的恶意软件加载器来提供最终有效载荷而著称。这家斯洛伐克网络安全公司表示,这标志着与 2023 年下半年观察到的先前攻击不同,这些攻击利用名为 AceCryptor 的加密器即服务 (CaaS) 来传播 Remcos RAT(又名 Rescoms)。ESET在2024年3月指出:“在[2023年]下半年,Rescoms成为AceCryptor打包的最普遍的恶意软件家族。“这些尝试中有一半以上发生在波兰,其次是塞尔维亚、西班牙、保加利亚和斯洛伐克。”攻击的起点是网络钓鱼电子邮件,其中包含带有恶意软件的 RAR 或 ISO 附件,这些附件在打开时会激活一个多步骤过程来下载和启动特洛伊木马。如果附加了 ISO 文件,它将直接导致 DBatLoader 的执行。另一方面,RAR 存档包含一个混淆的 Windows 批处理脚本,其中包含一个伪装成 PEM 编码的证书吊销列表的 Base64 编码的 ModiLoader 可执行文件。DBatLoader是一个基于Delphi的下载器,主要用于从Microsoft OneDrive或属于合法公司的受感染服务器下载和启动下一阶段的恶意软件。无论部署了什么恶意软件,Agent Tesla、Formbook 和 Remcos RAT 都具有窃取敏感信息的能力,使威胁行为者能够“为他们的下一次活动做好准备”。卡巴斯基透露,由于中小企业缺乏强大的网络安全措施以及有限的资源和专业知识,他们越来越多地成为网络犯罪分子的目标。“特洛伊木马攻击仍然是最常见的网络威胁,这表明攻击者继续以中小企业为目标,并偏爱恶意软件而不是不需要的软件,”这家俄罗斯安全供应商上个月表示。“特洛伊木马特别危险,因为它们模仿合法软件,这使得它们更难被发现和预防。它们的多功能性和绕过传统安全措施的能力使它们成为网络攻击者的普遍而有效的工具。
