“多次入侵尝试”与正在进行的社会工程活动有关,该活动据称与Black Basta勒索软件组织有关,该组织旨在窃取凭据并安装名为SystemBC的恶意软件投放器。
我们对这次行动了解多少?
根据网络安全专业人士的说法,这种方法并没有什么不寻常的,它遵循通常的社会工程攻击模式,电子邮件炸弹,然后试图打电话给受害者并提供虚假解决方案。
随后,攻击链说服用户下载并安装 AnyDesk,这是一个真正的远程访问程序,可作为提供额外有效载荷和泄露私人信息的渠道。
这涉及使用一个名为“AntiSpam.exe”的应用程序,该应用程序要求用户提供其 Windows 登录信息以完成更新,并声称下载垃圾邮件过滤器。
之后,运行许多程序、DLL 文件和 PowerShell 脚本。其中包括 SOCKS 代理、SystemBC 和 Golang 中内置的 HTTP 信标,该信标连接到远程服务器。
建议禁止所有未经授权的远程桌面解决方案,并将声称来自 IT 专业人员内部的可疑电话和消息拒之门外,以降低攻击带来的风险。
这一发现恰逢 SocGholish(也称为 FakeUpdates)、GootLoader 和 Raspberry Robin 成为 2024 年最常检测到的装载机菌株。这些菌株是勒索软件的垫脚石。
这些加载器通常通过订阅模式提供,按月付费可以访问定期更新、支持和新功能。这种订阅模式的一个优势是,它甚至允许技术专长有限的威胁行为者发起复杂的攻击。
发表评论
您还未登录,请先登录。
登录