網(wǎng)絡(luò)安全公司 NSFOCUS 將 DarkCasino 描述為一個(gè) "出于經(jīng)濟(jì)動(dòng)機(jī) "的行為者，該威脅行為者于 2021 年首次曝光。

該公司在一份分析報(bào)告中說(shuō)：DarkCasino是一個(gè)APT威脅行為體，具有很強(qiáng)的技術(shù)和學(xué)習(xí)能力，善于將各種流行的APT攻擊技術(shù)整合到其攻擊流程中。

APT組織DarkCasino發(fā)起的攻擊非常頻繁，顯示其竊取網(wǎng)絡(luò)財(cái)產(chǎn)的強(qiáng)烈愿望。

DarkCasino最近與CVE-2023-38831（CVSS評(píng)分：7.8）的零日利用有關(guān)，該安全漏洞可被武器化以傳播惡意有效載荷。

2023 年 8 月，Group-IB 披露了將該漏洞武器化的真實(shí)攻擊，至少自 2023 年 4 月以來(lái)，該攻擊一直瞄準(zhǔn)在線交易論壇，以交付名為 DarkMe 的最終有效載荷，這是一個(gè) Visual Basic 木馬，歸屬于 DarkCasino。

該惡意軟件可以收集主機(jī)信息、截圖、操作文件和 Windows 注冊(cè)表、執(zhí)行任意命令，并在被入侵主機(jī)上進(jìn)行自我更新。

雖然DarkCasino之前被歸類為EvilNum組織針對(duì)歐洲和亞洲在線賭博、加密貨幣和信貸平臺(tái)策劃的網(wǎng)絡(luò)釣魚(yú)活動(dòng)，但NSFOCUS表示，通過(guò)對(duì)對(duì)手活動(dòng)的持續(xù)跟蹤，它已經(jīng)排除了與已知威脅行為者的任何潛在聯(lián)系。

目前尚不清楚該威脅行為者的確切出處。

早期，DarkCasino 主要在地中海周邊國(guó)家和其他亞洲國(guó)家利用在線金融服務(wù)開(kāi)展活動(dòng)。

最近，隨著網(wǎng)絡(luò)釣魚(yú)方式的改變，其攻擊已波及全球加密貨幣用戶，甚至包括韓國(guó)和越南等非英語(yǔ)亞洲國(guó)家。

最近幾個(gè)月，多個(gè)威脅行為體加入了 CVE-2023-38831 漏洞利用的行列，包括 APT28、APT40、Dark Pink、Ghostwriter、Konni 和 Sandworm。

據(jù)觀察，Ghostwriter 利用該漏洞的攻擊鏈為 PicassoLoader 鋪平了道路，PicassoLoader 是一種中間惡意軟件，充當(dāng)其他有效載荷的加載器。

APT組織DarkCasino帶來(lái)的WinRAR漏洞CVE-2023-38831給2023年下半年的APT攻擊形勢(shì)帶來(lái)了不確定性。很多APT組織利用這個(gè)漏洞的窗口期攻擊政府等關(guān)鍵目標(biāo)，希望繞過(guò)目標(biāo)的防護(hù)系統(tǒng)，達(dá)到自己的目的。

參考鏈接：https://thehackernews.com/2023/11/experts-uncover-darkcasino-new-emerging.html