卡巴斯基全球研究与分析团队(GReAT)发现了一起全球恶意活动,攻击者利用Telegram发送木马间谍软件,其潜在攻击目标为金融科技和贸易行业的个人和企业。该恶意软件旨在窃取敏感数据,如密码,并控制用户的设备以进行间谍活动。
据称,该活动与臭名昭著的雇佣黑客APT(高级持续性威胁)组织DeathStalker有关,该组织提供专门的黑客攻击和金融情报服务。在卡巴斯基观察到的最近一波攻击中,威胁行为者试图使用DarkMe恶意软件感染受害者。DarkMe是一种远程访问木马(RAT),旨在窃取信息并从攻击者控制的服务器执行远程命令。
该活动背后的威胁行为者似乎以贸易和金融科技领域的用户为攻击目标,因为技术指标表明恶意软件可能是通过专注于这些话题的Telegram频道分发的。卡巴斯基发现受害者遍布欧洲、亚洲、拉丁美洲和中东的 20 多个国家,因此该活动是全球性的。
感染链分析显示,攻击者很可能在Telegram频道中发布帖子时附加了恶意文档。这些文档本身可能是RAR或ZIP文件,并不是恶意的,但它们包含带有.LNK、.com和.cmd等扩展名的有害文件。如果潜在受害者启动这些文件,就会通过一系列操作安装最终阶段的恶意软件DarkMe。
“威胁行为者没有使用传统的网络钓鱼方法,而是依靠Telegram渠道来传播恶意软件。在早期的活动中,我们也观察到这一行动使用 Skype 等其他消息平台作为初始感染途径。与钓鱼网站相比,这种方法可能会让潜在受害者更倾向于相信发送信息的人并打开恶意文件。此外,与标准的互联网下载相比,通过聊天应用程序下载文件可能会触发较少的安全警告,这对威胁行为者来说是有利的,”全球研究与分析团队(GReAT)安全研究负责人Maher Yamout揭示说。“虽然我们通常建议对可疑的电子邮件和链接保持警惕,但这一活动凸显了在使用即时通讯应用程序(如Skype和Telegram)时也要保持谨慎。”
除了利用Telegram传播恶意软件外,攻击者还提高了其操作安全性和入侵后的清理工作。安装完成后,恶意软件会删除用于部署DarkMe植入的文件。为了进一步阻碍分析并试图躲避检测,攻击者增加了植入文件的大小,并删除了其他痕迹,如后利用文件、工具和注册表键值。
Deathstalker(之前被称为Deceptikons)是一个至少自2018年起就开始活跃的威胁行为者组织,它可能出现于2012年。据说,这是一个网络雇佣兵或雇佣黑客组织,该组织似乎拥有能力高超的成员,他们开发内部工具集,并了解高级持续性威胁的生态系统。该组织的主要目标是收集商业、金融和私人个人信息,可能用于为其客户提供竞争或商业情报服务。他们的目标通常是中小型企业、金融、金融科技、律师事务所,少数情况下也会针对政府实体。尽管针对这些类型的目标,但DeathStalker从未被观察到窃取资金,这也是卡巴斯基认为其是一个私人情报机构的原因。
该组织还有一个有趣的倾向,即试图通过模仿其他APT行为者并结合伪旗活动来避免对其活动进行溯源。
对于个人用户,卡巴斯基建议采取以下措施:
· 安装一款值得信任的安全解决方案,并遵循其建议。安全解决方案会自动解决大部分问题,并在必要时发出警报。
· 了解新的网络攻击技术可以帮助您识别并避免威胁。安全博客将帮助您了解最新威胁的发展。
为了抵御高级威胁,卡巴斯基安全专家建议企业和组织:
· 让您的信息安全专业人员深入了解针对组织的网络威胁。最新的卡巴斯基威胁情报将为他们提供贯穿整个事件管理周期的丰富而有意义的背景信息,帮助他们及时发现网络风险
· 投资于额外的网络安全课程,使您的员工掌握最新知识。通过实用导向的卡巴斯基专家培训,信息安全专业人员可以提升其硬技能,从而能够有效抵御复杂攻击。您可以选择最合适的格式,参与自主学习的在线课程或由培训师主导的现场课程。
· 为了保护公司免受各种威胁,使用卡巴斯基Next产品线的解决方案,这些解决方案提供实时保护、威胁可见性,以及适用于任何规模和行业的EDR和XDR的调查与响应能力。根据您当前的需求和可用资源,您可以选择最相关的产品层级,并在网络安全需求变化时轻松迁移到其他层级。
关于全球研究于分析团队
全球研究与分析团队(GReAT)成立于 2008 年,是卡巴斯基的核心部门,负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前,GReAT 由 40 多名专家组成,他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用,他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
