关于网络犯罪份子租用WikiLoader通过银行木马攻击意大利组织的动态情报

本文主要是介绍关于网络犯罪份子租用WikiLoader通过银行木马攻击意大利组织的动态情报,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、基本内容

近期Proofpoint研究人员发现了一种新的恶意软件,被称为WikiLoader。这个恶意软件在2022年12月首次被发现,并且由攻击者组织TA544传播,他们通常使用Ursnif恶意软件来攻击意大利组织。Proofpoint观察到了多个与此相关的活动,其中大部分针对意大利组织WikiLoader是一个复杂的下载器,其目的是安装第二个恶意软件负载。这个恶意软件使用了一些有趣的规避技术和自定义代码实现,旨在增加检测和分析的难度。这表明WikiLoader很可能是由某个黑客团队开发的,并且可以出租给特定的网络犯罪威胁参与者。根据对多个威胁行为者的观察,Proofpoint预计其他威胁行为者可能会开始使用这个恶意软件,尤其是那些作为初始访问代理(IAB)运行的威胁行为者。

二、相关发声情况

Proofpoint研究人员最近发现了8个犯罪活动,这些活动自2022年12月以来一直在分发WikiLoader恶意软件。这些活动通常通过包含Microsoft Excel、Microsoft OneNote或PDF附件的电子邮件来进行。Proofpoint观察到,至少有两个威胁行为者(TA544和TA551)在意大利使用WikiLoader进行分发。虽然大多数网络犯罪威胁行为者已经不再使用启用宏的文档作为传播恶意软件的工具,但TA544仍然在攻击过程中使用这种方法在2022年12月27日、2023年2月8日和2023年7月11日发生了一系列引人注目的WikiLoader活动。根据观察,WikiLoader作为恶意软件,会安装Ursnif作为其后续有效负载。Proofpoint 数据分发 WikiLoader 中的第一个活动于 2022 年 12 月 27 日观察到。Proofpoint 研究人员观察到针对意大利公司的大量恶意电子邮件活动,该活动首先包含欺骗意大利税务局的 Microsoft Excel 附件的电子邮件。Microsoft Excel 附件包含特征性的 VBA 宏,如果收件人启用这些宏,就会下载并执行一个新的身份不明的下载程序,Proofpoint 研究人员最终将其称为 WikiLoader。此活动归因于 TA544。

Proofpoint 研究人员发现,2023 年 2 月 8 日的另一场针对意大利的高容量活动中使用了 WikiLoader 的更新版本,该活动归因于 TA544。该活动欺骗了一家意大利快递服务,并包含启用 VBA 宏的 Excel 文档,如果收件人启用这些文档,将导致安装 WikiLoader,随后下载 Ursnif。此版本的 WikiLoader 包含更复杂的结构、试图逃避自动分析的附加停顿机制以及编码字符串的使用。

2023 年 3 月 31 日,Proofpoint 观察到 TA551 使用包含嵌入式可执行文件的 OneNote 附件交付 WikiLoader。OneNote 附件在“打开”按钮后面包含一个隐藏的 CMD 文件,如果收件人单击该按钮,则会下载并执行 WikiLoader。该活动使用意大利语编写的消息和诱饵,也针对意大利组织,也是 Proofpoint 首次观察WikiLoader 被 TA544 以外的攻击者使用。 2023 年 7 月 11 日,研究人员发现了积极开发的恶意软件在协议中的其他更改,这些更改用于到达受感染的网络主机、通过 HTTP cookie 泄露主机信息、要求样本长时间运行的额外停顿机制以及 shellcode 的处理。在此活动中,TA544 使用会计主题来传递带有 URL 的 PDF 附件,从而导致下载压缩的 JavaScript 文件。如果 JavaScript 由接收者执行,则会导致打包下载器 WikiLoader 的下载和执行。值得注意的是,这次活动的数量很大,包括超过 150,000 条消息,并且不像之前观察到的活动那样专门针对意大利组织。

三、分析研判

在当前案例中,我们可以清晰的了解到攻击意大利组织的为恶意软件。在日常网络安全维护中恶意软件会造成以下危害:

1.数据盗取:恶意软件可以通过窃取个人敏感信息,如登录凭证、银行账户信息、信用卡号码等。这些信息可能被黑客用于非法活动或财务欺诈。

2.金融损失:某些恶意软件可以操纵系统或攻击银行、支付平台等金融机构,导致用户资金被盗或遭受其他财务损失。

3.系统瘫痪:某些恶意软件可以通过加密文件、删除系统文件或破坏关键组件来导致系统崩溃或无法正常运行。这可能会造成数据丢失、业务中断和生产力下降。

4.网络攻击:恶意软件可以被用来发起分布式拒绝服务攻击(DDoS攻击),通过大量请求淹没目标服务器,使其无法正常工作。

5.身份盗窃:恶意软件可以用来窃取用户的身份信息,如社交安全号码、护照号码等。这些信息可以被用于冒充身份进行欺诈活动

6.隐私侵犯:恶意软件可以植入广告软件、跟踪器或键盘记录器,以窃取用户的隐私信息并滥用。

四、应对策略

在日常网络安全维护中,我们可以使用以下方法:

1.安装可靠的安全软件:确保你的设备上安装了可信赖的防病毒软件和防火墙,及时更新它们的病毒库和定义文件。

2.定期更新操作系统和软件:及时安装操作系统和软件的更新补丁,这些补丁通常包含了修复安全漏洞的重要修复程序。

3.谨慎点击附件和链接:避免点击来自不可信来源的附件和链接,尤其是邮件、社交媒体和即时通讯应用中的陌生人发送的。

4.下载软件要谨慎:只从官方网站或可信赖的下载渠道下载软件,并确保软件的数字签名有效。

5.不轻易暴露个人信息:避免在不可信的网站或应用程序上输入个人敏感信息,如银行账号、密码等。

6.备份重要数据:定期备份重要数据到离线存储介质或云存储中,以防止数据丢失或被加密勒索。

7.教育用户提高安全意识:培养用户对恶意软件的辨识能力,提醒他们不要随意打开、下载或共享可疑内容。

8.监控网络流量和行为:使用网络安全工具监控网络流量和设备行为,及时发现异常活动并采取相应措施。

但是这些策略只是基本的防范措施,为了更好的保护设备和数据安全,建议综合考虑不同层面的安全防护措施

这篇关于关于网络犯罪份子租用WikiLoader通过银行木马攻击意大利组织的动态情报的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


原文地址:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/532596

相关文章

一文详解SpringBoot中控制器的动态注册与卸载

《一文详解SpringBoot中控制器的动态注册与卸载》在项目开发中,通过动态注册和卸载控制器功能,可以根据业务场景和项目需要实现功能的动态增加、删除,提高系统的灵活性和可扩展性,下面我们就来看看Sp... 目录项目结构1. 创建 Spring Boot 启动类2. 创建一个测试控制器3. 创建动态控制器注

Linux中压缩、网络传输与系统监控工具的使用完整指南

《Linux中压缩、网络传输与系统监控工具的使用完整指南》在Linux系统管理中,压缩与传输工具是数据备份和远程协作的桥梁,而系统监控工具则是保障服务器稳定运行的眼睛,下面小编就来和大家详细介绍一下它... 目录引言一、压缩与解压:数据存储与传输的优化核心1. zip/unzip:通用压缩格式的便捷操作2.

springboot如何通过http动态操作xxl-job任务

《springboot如何通过http动态操作xxl-job任务》:本文主要介绍springboot如何通过http动态操作xxl-job任务的问题,具有很好的参考价值,希望对大家有所帮助,如有错... 目录springboot通过http动态操作xxl-job任务一、maven依赖二、配置文件三、xxl-

Java调用C#动态库的三种方法详解

《Java调用C#动态库的三种方法详解》在这个多语言编程的时代,Java和C#就像两位才华横溢的舞者,各自在不同的舞台上展现着独特的魅力,然而,当它们携手合作时,又会碰撞出怎样绚丽的火花呢?今天,我们... 目录方法1:C++/CLI搭建桥梁——Java ↔ C# 的“翻译官”步骤1:创建C#类库(.NET

MyBatis编写嵌套子查询的动态SQL实践详解

《MyBatis编写嵌套子查询的动态SQL实践详解》在Java生态中,MyBatis作为一款优秀的ORM框架,广泛应用于数据库操作,本文将深入探讨如何在MyBatis中编写嵌套子查询的动态SQL,并结... 目录一、Myhttp://www.chinasem.cnBATis动态SQL的核心优势1. 灵活性与可

Mybatis嵌套子查询动态SQL编写实践

《Mybatis嵌套子查询动态SQL编写实践》:本文主要介绍Mybatis嵌套子查询动态SQL编写方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录前言一、实体类1、主类2、子类二、Mapper三、XML四、详解总结前言MyBATis的xml文件编写动态SQL

SpringBoot实现Kafka动态反序列化的完整代码

《SpringBoot实现Kafka动态反序列化的完整代码》在分布式系统中,Kafka作为高吞吐量的消息队列,常常需要处理来自不同主题(Topic)的异构数据,不同的业务场景可能要求对同一消费者组内的... 目录引言一、问题背景1.1 动态反序列化的需求1.2 常见问题二、动态反序列化的核心方案2.1 ht

Linux网络配置之网桥和虚拟网络的配置指南

《Linux网络配置之网桥和虚拟网络的配置指南》这篇文章主要为大家详细介绍了Linux中配置网桥和虚拟网络的相关方法,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 一、网桥的配置在linux系统中配置一个新的网桥主要涉及以下几个步骤:1.为yum仓库做准备,安装组件epel-re

golang实现动态路由的项目实践

《golang实现动态路由的项目实践》本文主要介绍了golang实现动态路由项目实践,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习... 目录一、动态路由1.结构体(数据库的定义)2.预加载preload3.添加关联的方法一、动态路由1

python如何下载网络文件到本地指定文件夹

《python如何下载网络文件到本地指定文件夹》这篇文章主要为大家详细介绍了python如何实现下载网络文件到本地指定文件夹,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下...  在python中下载文件到本地指定文件夹可以通过以下步骤实现,使用requests库处理HTTP请求,并结合o