SambaSpy：与意大利用户共舞的异国木马

与大多数在多个国家和语言之间广泛撒网的恶意软件攻击不同，SambaSpy活动以其精准确定目标而脱颖而出。该恶意软件经过设计，仅感染系统语言设置为意大利语的用户，确保在该地区取得最大成功。根据卡巴斯基的遥测数据，该活动始于2024年5月，并且没有放缓的迹象。

“"我们对这次攻击的目标范围之窄感到惊讶，”卡巴斯基GReAT高级网络安全研究员Giampaolo Dedola评论说：“通常，网络罪犯会尽可能多地感染用户，但SambaSpy的感染链包括特定的检查，以确保只有意大利用户受到影响。”

卡巴斯基发现该攻击行动中使用的两种略有不同的感染链。其中一种特别复杂的感染方法是从一封看似来自意大利合法房地产公司的钓鱼邮件开始。邮件提示用户点击嵌入的链接查看发票。该链接将用户重定向到一个用于管理发票的合法意大利云服务。

然而，某些用户会被重定向到一个恶意网络服务器，该服务器会验证浏览器的语言设置。如果用户使用的是Edge、Firefox或Chrome，并且语言设置为意大利语，他们将被定向至一个包含恶意PDF的恶意OneDrive URL地址。这会启动下载一个加载器或下载器，最终交付SambaSpy 远程访问木马（RAT）。

SambaSpy是一款功能齐全的远程访问木马（RAT），使用Java编写并通过Zelix KlassMaster进行混淆。这种高级恶意软件可以执行一系列恶意活动，包括：

• 文件系统和进程管理
• 摄像头控制
• 键盘记录和剪贴板操作
• 远程桌面管理
• 从Chrome、Edge和Opera等主流浏览器窃取密码
• 上传和下载文件
• 在运行时加载额外插件的能力

SambaSpy 的插件加载机制和对 JNativeHook 等库的使用，展示了攻击者所采用的高级技术水平。

尽管这次攻击的主要目标是意大利用户，但卡巴斯基研究人员发现这些攻击与巴西存在紧密的联系。恶意代码中的注释和错误消息是用巴西葡萄牙语编写的，这表明攻击背后的威胁行为者可能是巴西人。此外，该活动使用的基础设施与巴西和西班牙的其他攻击有关，尽管在这些地区使用的感染工具与意大利略有不同。

更多关于日益增长的网络威胁信息将在即将举行的安全分析师峰会（SAS）上揭晓，这次大会将于10月22日至25日举行。请确保您已经预约了席位，以了解威胁领域的最新趋势。

关于SambaSpy的报告全文，请访问Securelist.

为了最大限度地提高您组织的安全性，卡巴斯基建议：

• 除非绝对必要，否则不要将远程桌面服务（如RDP）暴露在公共网络上，并且始终使用高强度密码。
• 确保您所使用的商业VPN和其他服务器端软件解决方案始终保持更新，因为对这类软件的漏洞利用是常见的勒索软件感染途径。还要确保客户端应用程序保持更新。
• 将您的防御策略集中在检测横向移动和数据向互联网的外泄上。特别注意传出流量，以检测网络罪犯的连接。建立入侵者无法篡改的脱机备份。确保您可以在需要时或在紧急情况下快速访问它们。使用最新的威胁情报信息，了解威胁行动者使用的最新TTP。
• 使用托管检测和响应服务，以帮助在攻击者达成其最终目标之前，在早期阶段识别并阻止攻击。
• 要保护企业环境，请对员工进行安全教育培训。专门的培训课程可以提供帮助，例如卡巴斯基自动化安全意识平台提供的课程。
• 使用复杂的安全解决方案，结合端点保护和自动化事件响应功能，例如卡巴斯基NEXT。

 关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.