与俄罗斯有关的黑客使用 Smokeloader 恶意软件窃取乌克兰企业的资金-安全客

根据最近的一份报告，与俄罗斯有关的网络犯罪分子使用的 Smokeloader 恶意软件仍然是乌克兰金融黑客的主要工具之一。

2023 年 5 月至 11 月期间，研究人员发现了 23 个 Smokeloader 活动，针对乌克兰的各种目标，包括金融机构和政府组织。根据乌克兰主要国家网络机构 SSSCIP 与网络安全公司 Palo Alto Networks 合作发布的一份报告，黑客在 8 月和 10 月最为活跃，分别发起了 198 起和 174 起网络钓鱼事件。

乌克兰计算机应急响应小组 CERT-UA 追踪 Smokeloader 背后的组织 UAC-0006。该组织使用该恶意工具下载其他恶意软件，试图窃取乌克兰企业的资金。

据 CERT-UA 称，该恶意软件背后的组织试图从 2023 年 8 月至 9 月窃取数千万格里夫尼亚（1 美元=约 40 乌克兰格里夫尼亚）。

黑客主要通过网络钓鱼活动分发恶意软件，通常使用之前被泄露的电子邮件地址。研究人员表示，这种策略使他们能够“利用受信任的企业电子邮件帐户来提高欺骗目标陷入网络钓鱼企图的机会”。

一些电子邮件主题和文件名包含拼写错误或由乌克兰语和俄语单词混合组成。

在最近10 月份的活动中，黑客使用 Smokeloader 攻击国家、私人和金融机构，特别是会计部门。

黑客将 Smokeloader 隐藏在看似无害的财务文件之下。这些文件大多数都是合法的，并且是从之前受到威胁的组织中窃取的。

Smokeloader 使用各种规避策略来绕过安全措施而不被发现。最终获得系统访问权限后，它可以提取关键的设备信息，包括操作系统详细信息和位置数据。

研究人员表示，尽管乌克兰的 Smokeloader 攻击有所增加，但这种恶意软件“仍然是全球威胁，并且在针对其他国家的多个活动中继续出现”。

自 2011 年以来，威胁行为者一直在地下论坛上为 Smokeloader 做广告。研究人员并未将这种恶意软件归因于特定的黑客组织，但他们认为与俄罗斯网络犯罪活动存在潜在联系。

多年来，Smokeloader 不断更新和发展，以跟上技术的步伐，以避免被安全供应商检测到。

自该恶意软件首次出现以来，各种组织已将其用于攻击全球不同的行业和组织。研究人员表示，这些活动包括最近在乌克兰发生的有针对性的网络攻击以及导致 Phobos 勒索软件感染的犯罪活动。

Phobos 是一种勒索软件即服务，允许网络犯罪分子通过网络钓鱼活动或暴力攻击获取登录凭据，其中攻击者尝试通过尝试不同的用户名和密码组合来访问目标帐户，直到找到正确的密码。一。