作为针对欧洲各地组织的活动的一部分,已经发现了涉及 AceCryptor 工具的数千个新感染,该工具允许黑客混淆恶意软件并将其滑入系统而不被防病毒软件检测到。
ESET 的研究人员花了数年时间跟踪 AceCryptor,他们周三表示,最近的攻击活动与之前的迭代不同,因为攻击者扩展了内部打包的恶意代码类型。
AceCryptor 通常与名为 Remcos或 Rescoms 的恶意软件一起使用,这是一种强大的远程监视工具,研究人员已发现该工具多次用于针对乌克兰的组织。除了 Remcos 和另一个熟悉的工具 SmokeLoader 之外,ESET 表示,现在还发现 AceCryptor 分发 STOP 勒索软件和 Vidar 窃取程序等恶意软件。
ESET 根据目标国家/地区发现了一些差异。乌克兰的袭击使用了SmokeLoader,而波兰、斯洛伐克、保加利亚和塞尔维亚的袭击则使用了Remcos。
“在这些活动中,AceCryptor 被用来针对多个欧洲国家,并提取信息或获得对多家公司的初步访问权限。这些攻击中的恶意软件通过垃圾邮件传播,在某些情况下非常令人信服;有时垃圾邮件甚至是从合法但被滥用的电子邮件帐户发送的,”发现该活动的 ESET 研究员 Jakub Kaloč 说道。
ESET 表示,最近一次行动的目标是获取电子邮件和浏览器凭据,以便对目标公司进行进一步攻击,并补充说,他们看到的绝大多数恶意软件样本都被用作初始妥协向量。
ESET 表示,2023 年上半年,受 AceCryptor 打包的恶意软件影响最严重的国家是秘鲁、墨西哥、埃及和土耳其,其中秘鲁遭受的攻击最多,达到 4,700 起。
2023年下半年,黑客将攻击重点转向欧洲国家,针对波兰发起了超过26000次攻击。乌克兰、西班牙和塞尔维亚也发生了数千起袭击事件。
“今年下半年,Rescoms 成为 AceCryptor 打包的最流行的恶意软件家族,点击次数超过 32,000 次。其中一半以上的尝试发生在波兰,其次是塞尔维亚、西班牙、保加利亚和斯洛伐克,”研究人员表示。
“在此期间,ESET 在波兰总共记录了超过 26,000 起此类攻击。”
对波兰企业的攻击也有类似的主题,涉及为受害公司提供 B2B 服务。黑客试图通过使用真实的波兰公司名称和现有员工姓名来使电子邮件看起来合法。
ESET 表示,目前尚不清楚黑客是否打算为自己收集被盗的凭据或将其出售给其他威胁行为者。
虽然 ESET 无法识别攻击活动的来源,但代表俄罗斯政府的黑客已多次使用 Remcos 和 SmokeLoader。
ESET去年指出,2021 年和 2022 年在秘鲁、埃及、泰国、印度尼西亚、土耳其、巴西、墨西哥、南非、波兰和印度发现了超过 24 万次检测。
发表评论
您还未登录,请先登录。
登录