关于网络犯罪份子租用WikiLoader通过银行木马攻击意大利组织的动态情报

本文主要是介绍关于网络犯罪份子租用WikiLoader通过银行木马攻击意大利组织的动态情报,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、基本内容

近期Proofpoint研究人员发现了一种新的恶意软件,被称为WikiLoader。这个恶意软件在2022年12月首次被发现,并且由攻击者组织TA544传播,他们通常使用Ursnif恶意软件来攻击意大利组织。Proofpoint观察到了多个与此相关的活动,其中大部分针对意大利组织WikiLoader是一个复杂的下载器,其目的是安装第二个恶意软件负载。这个恶意软件使用了一些有趣的规避技术和自定义代码实现,旨在增加检测和分析的难度。这表明WikiLoader很可能是由某个黑客团队开发的,并且可以出租给特定的网络犯罪威胁参与者。根据对多个威胁行为者的观察,Proofpoint预计其他威胁行为者可能会开始使用这个恶意软件,尤其是那些作为初始访问代理(IAB)运行的威胁行为者。

二、相关发声情况

Proofpoint研究人员最近发现了8个犯罪活动,这些活动自2022年12月以来一直在分发WikiLoader恶意软件。这些活动通常通过包含Microsoft Excel、Microsoft OneNote或PDF附件的电子邮件来进行。Proofpoint观察到,至少有两个威胁行为者(TA544和TA551)在意大利使用WikiLoader进行分发。虽然大多数网络犯罪威胁行为者已经不再使用启用宏的文档作为传播恶意软件的工具,但TA544仍然在攻击过程中使用这种方法在2022年12月27日、2023年2月8日和2023年7月11日发生了一系列引人注目的WikiLoader活动。根据观察,WikiLoader作为恶意软件,会安装Ursnif作为其后续有效负载。Proofpoint 数据分发 WikiLoader 中的第一个活动于 2022 年 12 月 27 日观察到。Proofpoint 研究人员观察到针对意大利公司的大量恶意电子邮件活动,该活动首先包含欺骗意大利税务局的 Microsoft Excel 附件的电子邮件。Microsoft Excel 附件包含特征性的 VBA 宏,如果收件人启用这些宏,就会下载并执行一个新的身份不明的下载程序,Proofpoint 研究人员最终将其称为 WikiLoader。此活动归因于 TA544。

Proofpoint 研究人员发现,2023 年 2 月 8 日的另一场针对意大利的高容量活动中使用了 WikiLoader 的更新版本,该活动归因于 TA544。该活动欺骗了一家意大利快递服务,并包含启用 VBA 宏的 Excel 文档,如果收件人启用这些文档,将导致安装 WikiLoader,随后下载 Ursnif。此版本的 WikiLoader 包含更复杂的结构、试图逃避自动分析的附加停顿机制以及编码字符串的使用。

2023 年 3 月 31 日,Proofpoint 观察到 TA551 使用包含嵌入式可执行文件的 OneNote 附件交付 WikiLoader。OneNote 附件在“打开”按钮后面包含一个隐藏的 CMD 文件,如果收件人单击该按钮,则会下载并执行 WikiLoader。该活动使用意大利语编写的消息和诱饵,也针对意大利组织,也是 Proofpoint 首次观察WikiLoader 被 TA544 以外的攻击者使用。 2023 年 7 月 11 日,研究人员发现了积极开发的恶意软件在协议中的其他更改,这些更改用于到达受感染的网络主机、通过 HTTP cookie 泄露主机信息、要求样本长时间运行的额外停顿机制以及 shellcode 的处理。在此活动中,TA544 使用会计主题来传递带有 URL 的 PDF 附件,从而导致下载压缩的 JavaScript 文件。如果 JavaScript 由接收者执行,则会导致打包下载器 WikiLoader 的下载和执行。值得注意的是,这次活动的数量很大,包括超过 150,000 条消息,并且不像之前观察到的活动那样专门针对意大利组织。

三、分析研判

在当前案例中,我们可以清晰的了解到攻击意大利组织的为恶意软件。在日常网络安全维护中恶意软件会造成以下危害:

1.数据盗取:恶意软件可以通过窃取个人敏感信息,如登录凭证、银行账户信息、信用卡号码等。这些信息可能被黑客用于非法活动或财务欺诈。

2.金融损失:某些恶意软件可以操纵系统或攻击银行、支付平台等金融机构,导致用户资金被盗或遭受其他财务损失。

3.系统瘫痪:某些恶意软件可以通过加密文件、删除系统文件或破坏关键组件来导致系统崩溃或无法正常运行。这可能会造成数据丢失、业务中断和生产力下降。

4.网络攻击:恶意软件可以被用来发起分布式拒绝服务攻击(DDoS攻击),通过大量请求淹没目标服务器,使其无法正常工作。

5.身份盗窃:恶意软件可以用来窃取用户的身份信息,如社交安全号码、护照号码等。这些信息可以被用于冒充身份进行欺诈活动

6.隐私侵犯:恶意软件可以植入广告软件、跟踪器或键盘记录器,以窃取用户的隐私信息并滥用。

四、应对策略

在日常网络安全维护中,我们可以使用以下方法:

1.安装可靠的安全软件:确保你的设备上安装了可信赖的防病毒软件和防火墙,及时更新它们的病毒库和定义文件。

2.定期更新操作系统和软件:及时安装操作系统和软件的更新补丁,这些补丁通常包含了修复安全漏洞的重要修复程序。

3.谨慎点击附件和链接:避免点击来自不可信来源的附件和链接,尤其是邮件、社交媒体和即时通讯应用中的陌生人发送的。

4.下载软件要谨慎:只从官方网站或可信赖的下载渠道下载软件,并确保软件的数字签名有效。

5.不轻易暴露个人信息:避免在不可信的网站或应用程序上输入个人敏感信息,如银行账号、密码等。

6.备份重要数据:定期备份重要数据到离线存储介质或云存储中,以防止数据丢失或被加密勒索。

7.教育用户提高安全意识:培养用户对恶意软件的辨识能力,提醒他们不要随意打开、下载或共享可疑内容。

8.监控网络流量和行为:使用网络安全工具监控网络流量和设备行为,及时发现异常活动并采取相应措施。

但是这些策略只是基本的防范措施,为了更好的保护设备和数据安全,建议综合考虑不同层面的安全防护措施

这篇关于关于网络犯罪份子租用WikiLoader通过银行木马攻击意大利组织的动态情报的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/532596

相关文章

第10章 中断和动态时钟显示

第10章 中断和动态时钟显示 从本章开始,按照书籍的划分,第10章开始就进入保护模式(Protected Mode)部分了,感觉从这里开始难度突然就增加了。 书中介绍了为什么有中断(Interrupt)的设计,中断的几种方式:外部硬件中断、内部中断和软中断。通过中断做了一个会走的时钟和屏幕上输入字符的程序。 我自己理解中断的一些作用: 为了更好的利用处理器的性能。协同快速和慢速设备一起工作

动态规划---打家劫舍

题目: 你是一个专业的小偷,计划偷窃沿街的房屋。每间房内都藏有一定的现金,影响你偷窃的唯一制约因素就是相邻的房屋装有相互连通的防盗系统,如果两间相邻的房屋在同一晚上被小偷闯入,系统会自动报警。 给定一个代表每个房屋存放金额的非负整数数组,计算你 不触动警报装置的情况下 ,一夜之内能够偷窃到的最高金额。 思路: 动态规划五部曲: 1.确定dp数组及含义 dp数组是一维数组,dp[i]代表

Linux 网络编程 --- 应用层

一、自定义协议和序列化反序列化 代码: 序列化反序列化实现网络版本计算器 二、HTTP协议 1、谈两个简单的预备知识 https://www.baidu.com/ --- 域名 --- 域名解析 --- IP地址 http的端口号为80端口,https的端口号为443 url为统一资源定位符。CSDNhttps://mp.csdn.net/mp_blog/creation/editor

ASIO网络调试助手之一:简介

多年前,写过几篇《Boost.Asio C++网络编程》的学习文章,一直没机会实践。最近项目中用到了Asio,于是抽空写了个网络调试助手。 开发环境: Win10 Qt5.12.6 + Asio(standalone) + spdlog 支持协议: UDP + TCP Client + TCP Server 独立的Asio(http://www.think-async.com)只包含了头文件,不依

poj 3181 网络流,建图。

题意: 农夫约翰为他的牛准备了F种食物和D种饮料。 每头牛都有各自喜欢的食物和饮料,而每种食物和饮料都只能分配给一头牛。 问最多能有多少头牛可以同时得到喜欢的食物和饮料。 解析: 由于要同时得到喜欢的食物和饮料,所以网络流建图的时候要把牛拆点了。 如下建图: s -> 食物 -> 牛1 -> 牛2 -> 饮料 -> t 所以分配一下点: s  =  0, 牛1= 1~

poj 3068 有流量限制的最小费用网络流

题意: m条有向边连接了n个仓库,每条边都有一定费用。 将两种危险品从0运到n-1,除了起点和终点外,危险品不能放在一起,也不能走相同的路径。 求最小的费用是多少。 解析: 抽象出一个源点s一个汇点t,源点与0相连,费用为0,容量为2。 汇点与n - 1相连,费用为0,容量为2。 每条边之间也相连,费用为每条边的费用,容量为1。 建图完毕之后,求一条流量为2的最小费用流就行了

poj 2112 网络流+二分

题意: k台挤奶机,c头牛,每台挤奶机可以挤m头牛。 现在给出每只牛到挤奶机的距离矩阵,求最小化牛的最大路程。 解析: 最大值最小化,最小值最大化,用二分来做。 先求出两点之间的最短距离。 然后二分匹配牛到挤奶机的最大路程,匹配中的判断是在这个最大路程下,是否牛的数量达到c只。 如何求牛的数量呢,用网络流来做。 从源点到牛引一条容量为1的边,然后挤奶机到汇点引一条容量为m的边

代码随想录冲冲冲 Day39 动态规划Part7

198. 打家劫舍 dp数组的意义是在第i位的时候偷的最大钱数是多少 如果nums的size为0 总价值当然就是0 如果nums的size为1 总价值是nums[0] 遍历顺序就是从小到大遍历 之后是递推公式 对于dp[i]的最大价值来说有两种可能 1.偷第i个 那么最大价值就是dp[i-2]+nums[i] 2.不偷第i个 那么价值就是dp[i-1] 之后取这两个的最大值就是d

速盾高防cdn是怎么解决网站攻击的?

速盾高防CDN是一种基于云计算技术的网络安全解决方案,可以有效地保护网站免受各种网络攻击的威胁。它通过在全球多个节点部署服务器,将网站内容缓存到这些服务器上,并通过智能路由技术将用户的请求引导到最近的服务器上,以提供更快的访问速度和更好的网络性能。 速盾高防CDN主要采用以下几种方式来解决网站攻击: 分布式拒绝服务攻击(DDoS)防护:DDoS攻击是一种常见的网络攻击手段,攻击者通过向目标网

配置InfiniBand (IB) 和 RDMA over Converged Ethernet (RoCE) 网络

配置InfiniBand (IB) 和 RDMA over Converged Ethernet (RoCE) 网络 服务器端配置 在服务器端,你需要确保安装了必要的驱动程序和软件包,并且正确配置了网络接口。 安装 OFED 首先,安装 Open Fabrics Enterprise Distribution (OFED),它包含了 InfiniBand 所需的驱动程序和库。 sudo