威胁组织利用可截屏恶意软件，攻击了1000多家美、德企业

研究人员警告称，自10月以来，一个新的威胁组织一直以1000多个组织为目标，目的是部署窃取凭证的恶意软件。该组织的攻击链还包括侦察组件，其中有一个木马会对受感染计算机的桌面进行截屏。

安全公司Proofpoint的研究人员追踪到该组织使用的工具为TA866，该工具似乎与2019年以前以不同名称报道的其他攻击工具有相似之处。目前，这一威胁组织看似是出于经济动机，但过去也有相关案例表示，或许也可能是间谍动机。

由于攻击者在攻击链早期使用不同编程语言编写的截屏实用程序进行受害者分析，因此，Proofpoint将这一最新的攻击工具称为Screentime。

研究人员在一份新的报告中表示：攻击者的目的是将受害者的屏幕进行截屏，并发送到指挥和控制（C2）服务器。攻击者可能会在正常工作时间内手动检查受害者的屏幕截图图像，并放置额外的有效载荷供WasabiSeed循环下载。如果扮演者对之前的屏幕截图不满意，那么他们会拍摄更多的屏幕截图。

这些攻击从使用线程劫持技术的钓鱼电子邮件开始，并带有不同的诱饵，例如“请审核一下我的PPT”。它们试图让用户下载并打开带有恶意宏或恶意JavaScript文件的Publisher（.pub）文件。这些电子邮件包含一系列重定向、包含链接的PDF附件或直接.pub附件过滤流量后将用户指向文件的链接。

研究人员表示：“2022年10月和11月期间，该威胁组织的大多数攻击只涉及部分数量的电子邮件，并集中于少数公司。”。

平均每周，研究人员对威胁组织的攻击活动观察一到两次，消息中包含附加的Publisher文件。在2022年11月和12月，当威胁行为者改用URL时，攻击活动规模增加，电子邮件数量急剧增加。其中甚至包括数千到数万封电子邮件。

如果被执行，恶意文件将部署一个名为WasabiSeed的恶意软件程序，该程序由MSI安装程序提供，并通过在Windows启动文件夹中创建自动运行快捷方式来建立持久性。WasabiSeed是一个用VBS编写的简单脚本，其目标是下载和执行额外的有效负载。

第一批有效载荷之一是Screenhoter工具。自攻击活动开始以来，攻击者使用了Python编写的该工具的多种变体、AutoIT（一种用于Windows中任务自动化的脚本语言）以及JavaScript与IrfanView（一种Windows图像编辑工具）的捆绑副本。JavaScript+IrfanView变体是研究人员观察到的最新变体。

在被威胁组织认定有价值的目标上，WasabiSeed还会部署了一个名为AHK Bot的后攻击程序，该程序是用AutoHotKey编写的，AutoHotKey是另一种用于在Windows上自动执行任务的脚本。AHK Bot由AutoHotKey脚本组成，使攻击者能够执行不同的任务。例如建立一个名为域档案器，用于提取计算机连接的ActiveDirectory域，并将其发送到命令和控制服务器。

另一个名为Stealer Loader的脚本下载DLL文件并将其加载到计算机的内存中。该DLL文件是一种名为Rhadamanthys Stealer的信息窃取恶意软件，于2022年8月开始在网络犯罪暗网上发布广告出售。其功能包括从浏览器、FTP客户端、聊天客户端（例如Telegram、Discord）、电子邮件客户端、VPN配置、cookie和攻击者可能想要的任何其他文件中窃取加密钱包、steam账户、密码。

由于有效载荷的传递需要攻击者的手动干预，研究人员怀疑他们的时区是UTC+2:00或+3:00（东欧和俄罗斯）。一些恶意软件还包含俄语。这些攻击活动主要攻击了1000多个来自美国和德国的组织。

研究人员认为，这个威胁组织的攻击活动看似是出自经济动机，但是，综合历史相关活动的评估表明，可能还额外具备间谍活动。研究人员警告道：“在部署其他有效载荷之前，使用Screenhoter收集受损主机的信息，这意味着攻击者正在手动审查感染，以确定高价值目标。AD分析尤其令人担忧，因为后续活动可能会导致所有加入域的主机受到损害。”

Threat group targets over 1,000 companies with screenshotting and infostealing malware—— Lucian Constantin

齐心抗疫 与你同在