近日，有黑客利用一種名為 Rhadamanthys 的信息竊取惡意軟件發(fā)起網(wǎng)絡釣魚活動，專門針對石油和天然氣行業(yè)。

Cofense研究員 Dylan Duncan 表示：這些釣魚郵件使用了比較獨特的車輛事故作為“誘餌”，并在感染鏈的后期階段，用一個PDF文件誘騙聯(lián)邦運輸局，其中提到了對事故的巨額罰款。

據(jù)悉，該電子郵件附帶的惡意鏈接利用了開放重定向漏洞，會將收件人重定向到一個托管了虛假 PDF 文檔的鏈接，但實際上是一個圖片，點擊后會引導收件人下載包含竊取程序有效載荷的 ZIP 壓縮包。

Rhadamanthys 用 C++ 編寫，旨在與命令與控制（C2）服務器建立連接，以便從被入侵的主機上獲取敏感數(shù)據(jù)。

Dylan Duncan 表示：這個活動是在執(zhí)法部門摧毀LockBit勒索軟件組織后幾天內(nèi)出現(xiàn)的。雖然這可能只是巧合，但趨勢科技在 2023 年 8 月披露了一個 Rhadamanthys 變種，該變種捆綁了泄漏的 LockBit 有效載荷、剪切惡意軟件和加密貨幣挖掘器。

該公司指出：黑客在 Rhadamanthys 捆綁軟件中添加了信息竊取程序和 LockBit 勒索軟件變種的組合，這可能表明該惡意軟件仍在不斷進化。

在出現(xiàn) Sync-Scheduler 和 Mighty Stealer 等新的竊取程序惡意軟件家族的同時，StrelaStealer 等現(xiàn)有病毒也在通過改進混淆和反分析技術不斷發(fā)展。

在此之前，還出現(xiàn)了針對印度尼西亞的惡意垃圾郵件活動，該活動利用與銀行業(yè)務相關的誘餌傳播 Agent Tesla 惡意軟件，以掠奪登錄憑證、財務數(shù)據(jù)和個人文件等敏感信息。

Check Point稱，2023 年11 月觀察到的 Agent Tesla 網(wǎng)絡釣魚活動還將目標鎖定了澳大利亞和美國，Check Point 將這些攻擊行動歸咎于兩名非洲裔威脅行為者，追蹤到的Bignosa（又名Nosakhare Godson和Andrei Ivan）和Gods（又名GODINHO或Kmarshal或Kingsley Fredrick），后者是一名網(wǎng)頁設計師。

網(wǎng)絡安全

以色列網(wǎng)絡安全公司提到：Bignosa 似乎是一個針對組織機構實施惡意軟件和網(wǎng)絡釣魚活動團伙的成員，美國和澳大利亞的電子郵件業(yè)務數(shù)據(jù)庫也證實了這一點，同時也證實了Bignosa 的個人身份。

通過這些攻擊鏈分發(fā)的 Agent Tesla 惡意軟件現(xiàn)已被 Cassandra Protector 保護起來，該軟件有助于保護軟件程序免受逆向工程或修改行為的攻擊。據(jù)調(diào)查，這些郵件均是通過一個名為 RoundCube 的開源網(wǎng)絡郵件工具發(fā)送的。

Check Point 稱：從這些黑客的行動描述中可以看出，在過去幾年中最流行的惡意軟件家族之一背后開展網(wǎng)絡犯罪行動的準入門檻教低，只要是愿意通過垃圾郵件活動激怒受害者來啟動惡意軟件的人，都能通過這種方式實施網(wǎng)絡釣魚攻擊。