详细内容或原文请订阅后点击阅览
展开 Hemlock:网络犯罪分子使用“集束炸弹”恶意软件进行攻击
独特的感染方法允许将数十万个文件同时传送到受害者系统。
来源:安全实验室新闻频道展开 Hemlock:网络犯罪分子使用“集束炸弹”恶意软件进行攻击
独特的感染方法允许将数十万个文件同时传送到受害者系统。
Unfurling Hemlock 组织实施大规模攻击,同时向受害者的系统传送多达 10 种恶意软件,向世界各地的系统分发数十万个恶意文件。
这种感染方法称为恶意软件集群炸弹。该方法的本质是,一个恶意软件样本会在受感染的计算机上分发其他恶意软件样本。分布式恶意软件包括窃取程序、僵尸网络和后门。
KrakenLabs 专家发现了该活动,并报告称该活动自 2023 年 2 月以来一直在持续。 KrakenLabs 已识别出超过 50,000 个恶意磁带文件,这些文件具有将它们与 Unfurling Hemlock 组织联系起来的独特特征。
已找到Unfurling Hemlock 的攻击从执行 WEXTRACT.EXE 文件开始,该文件通过恶意电子邮件或下载器到达受害者的设备,Unfurling Hemlock 通过与其合作伙伴签订的合同可以访问这些文件。恶意可执行文件包含嵌套的压缩CAB文件,每个级别都包含一个恶意软件样本和另一个压缩文件。
活动示例行为图表
活动示例行为图表在解压的每个阶段,都会在受害者的计算机上安装恶意软件的另一种变体。当到达最后阶段时,文件将以相反的顺序执行 - 首先运行最近提取的恶意软件。
恶意软件执行顺序
恶意软件执行顺序KrakenLabs观察到了4到7个阶段,即攻击中的步骤数和传递的恶意软件数量各不相同。分析显示,该组织一半以上的攻击针对的是美国的系统,在德国、土耳其、印度和加拿大也观察到了重大活动。
红线 RisePro 神秘窃取者 MaaS 阿马迪 SmokeLoader Healer.exe