Infostealer Phishing 攻擊正瞄準台灣企業的粉絲專頁管理員及廣告管理員
一個尚未辨識的網路威脅者正在針對台灣企業粉絲專頁或是廣告管理員用戶進行網路釣魚攻擊,其目的是散布像是 Lumma 或 Rhadamanthys 這樣的資訊竊取惡意軟體。
這些誘餌訊息內含一個連結,當受害者點擊後,便會被引導至Dropbox或Google Appspot網域,進而觸發下載動作,下載的是包裹著假PDF執行檔的RAR壓縮檔,藉而由此傳送資訊竊取惡意軟體。
誘餌電子郵件和偽造的PDF檔名假冒公司法律部門的樣子,試圖引誘受害者下載並執行惡意軟體。
此外,這些不法行為者還以台灣一家知名工業馬達製造商和另一家知名網路商店的名義發送網路釣魚郵件,聲稱受害者的業務上有侵犯版權的行事。
根據威脅情資團隊 Cisco Talos 研究人員表示:「這些郵件要求受害者在24小時內移除侵權內容,停止未經授權的使用,並警告倘若不遵循,將會面臨可能的法律行動和賠償索求。」
他們還指出,這些網路威脅者還使用了多種的技術和工具,以規避防毒軟體偵測和沙箱分析,例如Shellcode加密、程式碼混淆,並將LummaC2和Rhadamanthys等資訊竊取惡意軟體嵌入合法的系統程式之中。
Lumma Stealer 是一種專門從被入侵系統中竊取資訊的惡意軟體,其目標包括系統詳細資訊、網頁瀏覽器及瀏覽器擴充功能等資料。
Rhadamanthys 是一種在地下論壇出售的高階資訊竊取工具,首次浮出檯面是在兩年前,這支惡意軟體專門用來蒐集系統資訊、帳戶憑證、加密貨幣錢包、密碼、Cookies以及其他應用程式中的資料。
這次的網路釣魚行動至少自7月以來持續進行中,最初的攻擊手法是透過網路釣魚郵件附帶的惡意軟體下載連結。這些郵件中使用繁體中文的誘騙內容,由此可推斷其目標對象為使用中文的用戶。
另外,也有觀察到一些網路釣魚活動是假冒OpenAI來進行,其目標指向全球的企業,指示他們點擊令人混淆的超連結以更新付款資訊。
「這次攻擊事件是由單一網域向超過1000位收件者發送的」,根據Barracuda的報告指出:「郵件內容使用了不同的超連結,可能是為了規避偵測。這些郵件通過了DKIM和SPF驗證,表示郵件是從該網域授權的郵件伺服器發出的。然而,該網域本身卻是非常可疑。」
LummaC2 和 Rhadamanthys相關的部分的入侵指標(IOCs):
03ed5c2b3a8b34f8c7ef110f78926c42 |
ff1156ab3a8226f8ac89bae78c990ebb85f3138b |
1b80e9c51d418ce5ac3a6741e70a6a0235b43bb7548299278865f604d41d7675 |
1ccf7f8b3a9b20bb87bc18a3fcfb41948f65dfb43b2fad1440a0eaef2656f414 |
213c8a51972fdd17d3f8c20a94e76123004d4e8f21a4a06d50f87d2c65379ac0 |
2175a1f8f798b0daf05965eb860166c65a8d227d1309cd3545dba3174fd2292f |
33aaf3109c1c8a477cbcdd942a9b60acc236fe56ddd8d0262d7ad63d9434e12f |
51c1e25a546dbf2d9a17ccd1f0e95cff68ead96d4dc77c995fe3d9cb67d4ee17 |
76c711c56c95009506347691c44ba9cc61ce0056e47784799f6429642c224d3a |
80231f19168b5f326bd1fbcd7a093aeb0415c84e5036c7991b3eaef2f9be77a2 |